计 8 机 科 学 从 Ba 


i 
x. 


N 
f 
[-] 
e 
z 
[LZ] 


4È La 
li 
L4 


b 
p 
Dt 





BROM 2 


WIELE 








w, Ian Sommerville „ Fi 成 ,x 2 
ES "A (8 M cn Tuomi CIR 





Software Engineering 


Ninth Edition 








SOMMERVILLE 


d 


SOFTWARE ENGINEERING 
SA 






人 7) 机械 工业 出 版 社 


China Machine Press 


um 


> 7 = 
cll eT C oe Es 
软件 工程 asg) 


Software Engineering Ninh Edition 


-pe 


本 书 是 系统 介绍 软件 工程 理论 的 经 典 教材 ， 自 1982 年 初版 以 来 ， 随 着 软件 工程 学 科 的 发 展 不 断 更 新 ， 影 
响 了 一 代 又 一 代 软 件 工 程 人 才 ， 对 学 科 本 身 也 产生 了 积极 影响 。 全 书 共 四 个 部 分 ， 完 整 讨 论 了 软件 工程 各 个 
阶段 的 内 容 ， 是 软件 工程 和 系统 工程 专业 本 科 和 研究 生 的 优秀 教材 ， 也 是 软件 工程 师 必 备 的 参考 书籍 。 


本 书 特点 

@ 涵盖 了 对 所 有 开发 过 程 都 很 基础 的 重要 主题 ， 包 括 软件 工程 理论 与 实践 的 最 新 进展 。 

e 将 本 书 第 8 版 中 的 八 篇 内 容重 构 为 四 个 部 分 ， 使 教师 讲授 软件 工程 课程 更 加 容易 。 

:EN 
开发 、 测 试 驱动 开发 、 可 依赖 系统 体系 结构 、 静 态 分 析 和 模型 检查 、COTS 复 用 、 服 务 作为 软件 以 及 敏 
捷 规 划 等 新 内 容 。 

@ 着 重 讨论 了 开发 可 靠 的 分 布 式 系统 的 相关 主题 以 及 敏捷 方法 和 软件 复 用 。 

e 反映 敏捷 方法 先进 性 的 同时 ， 不 忘 强调 传统 的 计划 驱动 软件 工程 的 作用 ， 阁 述 了 两 者 结合 构建 优秀 软 
件 系统 的 重要 性 。 

e 以 一 个 新 的 病人 记录 系统 案例 研究 贯穿 始终 ， 系 统 、 完 整地 讲解 软件 工程 的 各 个 方面 。 

e 将 本 书 设计 为 “印刷 /Web” 相 结合 的 方式 ， 核 心 信息 采用 印刷 版 本 ， 教 辅 材料 及 先前 版 本 中 的 一 些 章 
节 放 在 Web 上 ， 为 读者 提供 丰富 翔实 的 信息 。 
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本 书 是 系统 介绍 软件 工程 理论 的 经 典 教材 ， 自 1982 年 初版 以 来 ， 随 着 软件 工程 学 科 的 不 
断 发 展 ， 不 断 更 新 版 本 ， 影 响 了 一 代 又 一 代 软 件 工程 人 才 ， 对 学 科 本 身 也 产生 了 重大 影响 。 
本 版 保留 了 上 一 版 中 的 软件 工程 的 基本 材料 ， 但 对 各 章 都 进行 了 修改 和 更 新 ， 并 增加 了 很 多 
有 关 其 他 主题 的 新 材料 。 

本 书包 含 四 个 部 分 : 第 一 部 分 是 对 软件 工程 的 一 般 性 介绍 ， 包 括 软件 工程 过 程 和 敏捷 开 
发 ， 以 及 面向 对 象 的 设计 和 设计 模式 的 使 用 ; 第 二 部 分 介绍 可 依赖 性 和 信息 安全 性 问题 ; 第 
三 部 分 介绍 高 级 软件 工程 ; 第 四 部 分 介绍 软件 管理 ， 重 点 介绍 技术 管理 问题 。 

本 书 适合 作为 软件 和 系统 工程 专业 本 科 生 或 研究 生 教材 ， 同 时 也 是 软件 工程 师 难得 的 优 
秀 参考 书籍 。 

Simplified Chinese edition copyright @ 2011 by Pearson Education Asia Limited and China Ma- 
chine Press. 

Original English language title: Software Engineering, Ninth Edition (ISBN 978- 0-13-703515-1) 
by Randal E. Bryant and David R. O’ Hallaron, Copyright © 2011, 2006, 2005, 2001, 1996. 
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文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 各 
个 领域 取得 了 垄断 性 的 优势 ， 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 家 非 
出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ,美国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 学 科 中 的 
许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科学 著作 ， 不 仅 璧 划 了 研究 的 
范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规 范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 因 年 月 的 流逝 而 
减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ,我 国 的 计算 机 产业 发 展 迅 猛 ， 对 专业 人 才 的 需求 日 益 迫 
切 。 这 对 计算 机 教育 界 和 出 版 界 都 是 是 机 遇 ， 也 是 挑战 ; 而 专业 教材 的 建设 在 教育 战略 上 显得 举 
足 轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 发 展 的 几 十 
年 间 积 淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计算 机 教材 将 对 
我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 的 世界 一 流 大 学 
的 必由之路 。 

机 械 工 业 出 版 社 华章 公司 较 早 意识 到 “出 版 训 为 教育 服务 ”。 自 1998 年 开始 ， 我 们 就 将 工 
作 重 点 放 在 了 六 选 、 移 译 国外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson, McGraw-Hill, 
Elsevier, MIT, John Wiley & Sons, Cengage 等 挝 界 著名 出 版 公司 建立 了 良好 的 合作 关系 ， 从 他 们 
现 有 的 数 百 种 教材 中 甄选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, Brain W. Kemighan, Dennis 
Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. Ullman, Abraham Silberschatz, Wil- 
liam Stallings, Donald E. Knuth, John L. Hennessy, Larry L. Peterson 等 大 师 名 家 的 一 批 经 典 作品 ， 
以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 
了 这 套 从 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 鼎力 圳 助 ， 国 内 的 专家 不 仅 提 供 了 中 肯 
的 选 题 指导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ; 而 原 书 的 作者 也 相当 关注 其 作品 在 中 国 
的 传播 ， 有 的 还 专程 为 其 书 的 中 译本 作 序 。 迄 今 , “计算 机 科学 丛书 ”已 经 出 版 了 近 两 百 个 品 
种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采用 为 正式 教材 和 参考 书籍 。 其 影印 版 
“经 典 原 版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 的 图 书 
有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 斯 完善 和 教材 改革 的 逐渐 深化 ， 教 
育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 而 反馈 
的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 公 司 欢迎 老师 和 读者 对 我 们 的 工作 提出 建 
议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 ， 


华章 网 站 ，www, hzbook. com 
HF AB. hzjsj@ hzbook. com 
联系 电话 : (010) 88379604 
联系 地 址 ， 北 京 市 西城 区 再 万 庄 南 街 1 号 


邮政 编码 ，100037 华章 科技 图 书 出 版 中 心 
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又 一 轮 榈 庭 落叶 ， 兰 畦 浮 香 ， 银 蟾 新 满 ， 我 们 再 次 拿 出 了 本 书 的 中 文 译 稿 。 此 时 的 心情 轻松 
愉悦 。 往 日 的 辛劳 没有 让 我 们 感到 任何 痛苦 ， 近 800 页 原著 的 每 一 页 犹如 一 杯 杯 醇 香 咖啡 ， 令 人 
回味 悠长 。 自 从 本 书 第 6 版 中 文 译 著 由 我 们 翻译 出 版 以 来 ， 一 直 得 到 众多 读者 的 帮助 和 厚爱 ， 所 
以 对 这 次 第 9 版 的 翻译 我 们 更 加 珍惜 ， 倍 加 努力 。 如 果 要 问 我 们 的 感想 ， 那 就 是 通过 此 书 对 社会 
尽 一 点 绵薄 之 力 ， 让 同胞 一 同 分 享 该 书 的 快乐 了 。 

本 书 是 一 部 阐述 软件 工程 理论 和 技术 的 著作 ， 几 乎 涵盖 了 软件 工程 的 所 有 方面 ， 同 时 ， 就 像 
本 书 作者 所 声明 的 那样 ， 由 于 作者 对 需求 分 析 和 实时 系统 的 特殊 偏好 ， 使 得 本 书 极 具 特点 。 本 书 
的 第 一 个 特点 是 ， 通 篇 阐述 主要 以 要 求 极 高 的 一 类 系统 为 实例 ， 使 得 本 书 的 理论 和 方法 阐述 非 
常 容易 理解 。 同 时 ， 译 者 认为 ， 由 于 要 求 极 高 的 一 类 系统 具有 一 般 软 件 系统 的 几乎 所 有 特性 ， 而 
且 其 备 一 般 软件 不 必要 的 很 多 特征 ， 因 此 ， 掌 握 本 书 精髓， 对 于 一 般 软件 系统 的 研究 和 开发 无 疑 
会 深 得 要 领 且 更 加 得 心 应 手 。 本 书 的 第 二 个 特点 是 形式 化 描述 内 容 较 多 ， 这 一 方面 与 要 求 极 高 
的 一 类 系统 设计 有 关 ， 另 一 方面 也 多 少 反 映 出 一 些 网 洲 学 者 的 研究 之 风 。 作 者 将 形式 化 描述 结 
合 具体 应 用 实例 阐述 得 深入 浅 出 ， 是 我 们 学 习 和 人 掌握 该 方法 的 极 好 教材 。 本 书 的 第 三 个 特点 就 
是 关于 软件 进化 理论 和 方法 的 系统 介绍 。 译 者 也 读 过 其 他 的 一 些 著作 ， 但 比较 起 来 在 软件 进化 
理论 和 方法 的 阐述 上 本 书 当 属 最 透彻 的 一 本 了 。 有 过 软件 进化 相关 工程 经 历 的 人 经 常会 有 困惑 
之 处 ,本 书 在 这 方面 的 高 屋 建 领 般 的 阐述 无 疑 将 对 同行 们 起 到 答疑 解 惑 的 作用 。 本 书 的 第 四 个 
特点 是 ， 通 过 对 本 书 第 8 版 的 改造 ， 从 多 个 角度 集中 介绍 了 在 快速 软件 开发 等 方面 的 技术 ， 以 反 
映 当前 软件 领域 的 最 新 动向 。 以 上 这 些 只 是 我 们 的 一 点 粗浅 认识 ， 相 信 读 过 本 书 之 后 ， 读 者 会 有 
更 多 更 深 的 领悟 。 不 过 本 书 内 容 之 系统 翔实 ， 阐 述 之 精辟 透彻 ， 引 文 和 材料 之 丰富 ， 确 实 让 我 们 
叹为观止 。 

本 书 主要 由 程 成 翻译 。 参 与 本 书 翻译 和 审 校 等 相关 工作 的 还 有 北京 理工 大 学 计算 机 学 院 的 
研究 生 楷 雪琴 、 董 雪 梅 、 姜 侍 、 刘 晓 峰 、 周 小 飞 、 马 腊 飞 、 高 彦明 、 邵 霞 、 刘 佳 ， 在 此 对 他 们 的 
工作 热情 和 认真 态度 以 及 对 本 书 翻译 的 大 力 帮 助 表示 感谢 。 

鉴于 译 者 自身 的 知识 局 限 及 时 间 仓 促 ， 译 稿 中 难免 有 错误 和 遗漏 之 处 ， 并 向 原 书 作者 表示 
菊 意 ， 并 欢迎 广大 读者 批评 指正 。 


程 成 
北京 理工 大 学 


| 前 言 


Software Engineering, 9E 


2009 年 夏 ， 当 我 写本 书 最 后 一 章 的 时 候 ， 软 件 工程 正好 有 40 年 的 历史 了 。“ 软 件 工程 ”这 
个 名 字 是 在 1969 年 的 NATO 大 会 上 讨论 软件 开发 问题 时 提出 来 的 。 所 讨论 的 开发 问题 是 ， 大 型 
软件 系统 总 是 延期 ， 不 能 交付 用 户 期 待 的 功能 ， 成 本 超出 预期 ， 软 件 不 可 靠 。 本 人 并 没有 参加 那 
次 会 议 , 但 是 一 年 之 后 ， 我 写 了 我 的 第 一 个 程序 并 开始 了 我 的 软件 职业 生涯 。 

在 我 的 整个 职业 生涯 中 软件 工程 的 进展 是 不 同 凡响 的 。 我 们 的 社会 如 果 没 有 大 型 专业 软件 
系统 就 根本 不 能 运转 。 对 于 构建 业务 系统 ， 这 里 有 一 串 技术 习 语 ，J2HRE、、NET、SaaS、SAP、 
BPELAWS, SOAP, CBSE 等 ， 它 们 支持 大 型 企业 应 用 的 开发 和 部 署 。 国 家 公用 事业 和 基础 设施 
(能 源 、 通 信 以 及 运输 ) 都 依赖 于 复杂 而 可 靠 的 计算 机 系统 。 软 件 让 我 们 能 够 探索 空间 ， 创 建 万 
维 网 这 个 人 类 历史 上 最 为 强大 的 信息 系统 。 人 类 正面 临 着 新 的 挑战 一 一 气候 变化 和 极端 天 气 ， 
自然 资源 的 减少 ， 需 要 为 更 多 的 人 口 提 供 食物 和 住房 ， 国 际 和 恐怖 主义 的 威胁 ， 还 有 需要 为 老年 人 
提供 更 加 满意 的 生活 。 我 们 需要 新 技术 来 帮助 我 们 解决 这 些 问题 。 而 且 可 以 肯定 ， 软 件 将 在 这 些 
技术 中 扮演 核心 角色 。 

因此 ， 软 件 工程 是 人 类 未 来 十 分 重要 的 技术 。 我 们 必须 不 断 地 教育 软件 工程 师 和 发 展 这 门 
学 科 ， 使 我 们 能 构造 出 更 加 复杂 的 软件 系统 。 当 然 ， 现 在 我 们 的 软件 项 目 还 有 很 多 问题 ， 软 件 仍 
然 在 延期 ， 成 本 超过 预算 。 但 是 ， 我 们 不 应 该 让 这 些 问 题 旗 挡住 视线 ， 应 该 看 到 在 软件 工程 上 取 
得 的 真正 的 成 功 ， 应 该 看 到 我 们 已 经 研究 出 了 了 不 起 的 软件 工程 方法 和 技术 。 

软件 工程 现在 是 一 个 非常 大 的 领域 ， 任 何 一 本 书 都 不 可 能 覆盖 它 的 所 有 主题 。 因 此 ， 我 的 重 
点 放 在 对 所 有 开发 过 程 都 很 基础 的 重要 主题 上 ， 以 及 放 在 关于 开发 可 靠 的 分 布 式 系统 的 一 些 主 
题 上 。 对 敏捷 方法 和 软件 复 用 给 予 了 更 多 的 关注 。 我 坚信 敏捷 方法 会 有 它们 的 位 置 ,但 是 “ 传 
统 ” 的 计划 驱动 软件 工程 也 肯定 不 会 消失 。 我 们 需要 将 这 些 方法 中 的 最 好 的 东西 结合 起 来 以 构 
建 更 好 的 软件 系统 。 

任何 一 本 书 都 不 可 避免 地 反映 作者 的 观点 和 倾向 。 肯 定 会 有 某 些 读 者 不 赞成 我 的 观点 和 我 
所 选择 的 材料 。 这 种 不 同意 见 是 学 科 多 样 性 的 一 种 健康 反映 ， 对 学 科 的 演化 也 是 很 有 好 处 的 。 尽 
管 如 此 ,我 还 是 希望 所 有 的 软件 工程 师 和 学 习 软 件 工程 的 学 生 能 从 本 书 中 发 现 自己 感 兴 趣 的 
东西 。 


与 Web 的 整合 


在 Web 上 关于 软件 工程 有 非常 大 量 的 信息 可 用 ， 因 此 很 多 人 会 问 是 否 有 必要 写 这 样 一 本 教 
科 书 。 然 而 ， 网 络 上 的 可 用 信息 是 很 不 完整 的 ， 质 量 也 是 参差 不 齐 的 ， 有 的 信息 呈现 的 形式 很 
差 ， 很 难 找到 你 想 要 的 内 容 。 所 以 ， 我 相信 教科 书 在 学 习 上 仍然 有 不 可 蔡 代 的 作用 。 它 们 会 像 路 
标 一 样 指引 你 奔 向 主题 ， 可 以 将 方法 和 技术 的 内 容 很 好 地 组 织 在 一 起 方便 你 阅读 。 它 们 也 会 为 
你 提供 一 个 深入 探索 研究 文献 和 网 上 可 用 信息 的 起 点 。 

我 坚信 ， 只 有 当 教科 书 与 网 络 上 的 材料 结合 在 一 起 并 能 为 众多 可 用 信息 增加 价值 的 时 候 ， 
它们 才 是 有 前 途 的 。 本 书 因而 设计 成 混合 的 “印刷 /Web” 这 样 的 文本 形式 。 核 心 信息 用 印刷 版 
本 ， 教 输 材 料 放 在 Web 上 。 几 乎 所 有 的 章 都 包含 特别 的 “Web 小 节 ”， 成 为 该 章 内容 的 补充 。 另 
外 还 有 4 P “Web 38", XX A 章 内 容 没有 在 本 书 印 刷 版 中 出 现 。 


M 


与 本 书 相 关 的 Web 站 点 是 : 

http://www. SoftwareEngineering-9. com 

本 书 的 网 站 有 4 个 主要 部 分 : 

1. Web 小 节 (Web sections) “一些 额外 的 小 节 ， 是 为 每 一 章 所 添加 的 部 分 内 容 。 这 些 
Web 小 节 是 通过 每 章 当中 用 方 框 括 起 的 内 容 指 引 的 。 

2. Web & (Web chapters) ”这 4 个 Web 章 覆 盖 了 形式 化 方法 、 交 互 设 计 、 文 档 化 以 及 应 
用 体系 结构 。 今 后 ， 我 会 在 本 书 的 升级 版 本 中 添加 其 他 新 的 主题 到 “Web 章 ” 中 。 

3. 教师 材料 ”此 部 分 的 材料 是 为 那些 讲授 软件 工程 课程 的 教师 准备 的 。 参 见 前 言 后 面 的 
“支持 材料 ”。 

4. 案例 研究 ”提供 关于 本 书 中 使 用 的 案例 研究 的 附加 信息 (胰岛 素 穴 、 心 理 健康 护理 系统 、 
野外 气象 站 系统 ) ， 也 包括 另外 更 深入 的 案例 信息 ， 如 阿 丽 亚 娜 5 号 火箭 发 射 失败 。 

除 此 之 外 ， 本 书 还 有 到 其 他 网 站 的 链接 ， 包 括 关 于 软件 工程 、 进 一 步 阅 读 、 博 客 以 及 通讯 简 
报 等 有 价值 材料 的 网 站 。 

我 很 欢迎 读者 提出 关于 本 书 及 其 网 站 的 建设 性 意见 和 建议 。 读 者 可 以 通过 ian@ SoftwareEngi- 
neering-9. com 与 我 联系 。 请 在 主题 中 注 明 [SEO] 字样 ， 否 则 ,我 的 邮件 过 滤器 会 拒绝 你 的 邮件 
因而 得 不 到 我 的 回信 。 我 本 人 没有 时 间 帮 助 学 生 解答 他 们 的 课 后 作业 ， 所 以 请 不 要 问 类 似 问题 。 


读者 对 象 


本 书 主要 面向 各 大 学 和 学 院 正 在 学 习 软 件 和 系统 工程 的 初 高 级 课程 的 学 生 。 工 业界 的 软件 
工程 师 也 会 发 现 它 是 一 本 很 好 的 读物 ， 能 帮助 他 们 更 新 在 软件 复 用 、 体 系 结构 设计 、 可 依赖 性 和 
信息 安全 性 以 及 过 程 改 善 等 方面 的 知识 。 我 假设 读者 都 完成 了 初级 的 编程 课程 学 习 并 了 解 编程 
方面 的 术语 。 


对 先前 版 本 的 变更 


这 一 版 保留 了 上 一 版 中 的 软件 工程 的 基本 材料 ， 但 是 我 还 是 修改 和 更 新 了 所 有 章 的 内 容 ， 
并 增加 了 很 多 有 关 其 他 主题 的 新 材料 。 其 中 最 重大 的 改变 有 : 

1. 从 单纯 的 印刷 版 转变 到 混合 的 “印刷 /Web” 版 ， 将 Web 材料 与 印刷 材料 紧密 结合 在 一 
起 。 这 就 允许 我 减少 本 书 章 的 数量 ， 且 能 更 加 专注 于 每 一 章 的 核心 内 容 。 

2. 结构 变化 很 大 使 得 教师 讲授 软件 工程 课程 会 更 加 容易 。 本 书 现在 有 4 个 部 分 而 不 是 8 个 
部 分 ， 每 个 部 分 可 以 单独 使 用 或 者 是 结合 其 他 部 分 作为 软件 工程 课程 的 基本 内 容 。 这 4 个 部 分 分 
别 是 软件 工程 导论 、 可 依赖 性 和 信息 安全 性 、 高 级 软件 工程 和 软件 管理 。 

3. 将 来 自 先前 版 本 的 多 个 主题 压缩 到 一 章 中 冰 述 ， 并 与 其 他 材料 一 起 放 在 Web 上 。 

4. 额外 的 Web 章 ， 那些 出 现在 先前 版 本 中 而 没有 包含 在 本 书 中 的 各 章 ， 现 在 都 放 在 Web 


5. 更 新 和 修改 了 每 一 章 。 我 估计 有 30% ~40%% 的 内 容 都 经 过 全 面 彻底 的 重 写 。 

6. 增加 了 关于 敏捷 软件 开发 和 内 人 式 系统 的 一 些 章 。 

7. 除了 这 些 新 的 章节 外 ， 在 以 下 方面 也 增添 了 新 的 内 容 : 模型 驱动 工程 、 开 源 开 发 、 测 试 
驱动 开发 、Reason 的 瑞士 乳酪 模型 、 可 依赖 系统 体系 结构 、 静 态 分 析 和 模型 检测 COTS 复 用 、 
作为 服务 的 软件 以 及 敏捷 规划 。 

8. 关于 病人 记录 系统 的 新 案例 研究 ， 是 在 很 多 章 中 都 会 用 到 的 关于 接受 心理 健康 问题 治疗 
的 病人 的 信息 系统 。 


用 作 教学 


针对 3 种 不 同类 型 的 软件 工程 课程 ， 我 对 本 书 进行 了 如 下 设计 : 

l. 软件 工程 一 般 性 介绍 课程 ”本 书 第 一 部 分 就 是 设计 来 明确 支持 一 个 学 期 的 介绍 软件 工程 
基本 内 容 的 课程 。 

2. 特别 软件 工程 主题 的 介绍 课程 或 过 渡 课 程 ”通过 使 用 第 二 ~ 四 部 分 的 内 容 ， 可 以 创建 一 
系列 更 高 级 课程 。 例 如 ， 我 采用 第 二 部 分 的 各 章 加 上 关于 质量 管理 和 配置 管理 的 两 章 讲授 要 求 
极 高 的 系统 工程 课程 。 

3. 关于 特别 软件 工程 主题 的 更 高 级 的 课程 ”在 此 情况 下 ， 本 书 的 各 章 可 以 构成 课程 的 基础 ， 
然后 辅 之 以 更 多 的 阅读 以 便 进 一 步 探索 某 个 主题 。 例 如 ， 关 于 软件 复 用 的 课程 就 可 以 基于 第 
16 ~ 19 章 的 内 容 。 


支持 材料 


本 书 带 有 大 量 支持 材料 帮助 教师 采用 此 书 作 为 软件 工程 教材 授课 。 这 些 材 料 包括 ; 

e 本 书 所 有 章 的 幻灯 片 。 

e 幻灯 片 中 的 图 和 表 。 

e 教师 指导 ， 包 括 一 些 关于 如 何在 不 同 的 课程 中 利用 本 书 的 建议 ， 并 解释 了 在 此 版 和 先前 版 
本 中 各 个 章 之 加 的 关系 。 

e 关于 书 中 案例 研究 的 进一步 资料 。 

e 会 在 软件 工程 课程 中 用 到 的 其 他 案例 研究 。 

e 有 关系 统 工程 的 其 他 幻灯 片 。 

e 4 个 Web 3, 涵盖 了 形式 化 方法 、 交 互 设计 、 应 用 体系 结构 以 及 文档 化 。 

e 部 分 章 后 练习 的 答案 。 

所 有 上 述 材 料 都 是 免费 提供 给 本 书 读者 的 ， 可 以 从 本 书 的 网 站 www. hzbook. com 下 载 。 


致谢 
在 过 去 的 几 年 时 间 里 有 很 多 人 对 本 书 的 改进 做 出 了 贡献 ， 我 想 在 此 感谢 所 有 的 人 (审阅 人 、 
学 生 、 读 者 ) ， 他 们 对 本 书 先前 版 本 给 出 了 很 多 评论 ， 对 本 书 的 更 新 给 出 了 建设 性 的 意见 。 
特别 要 感谢 我 的 家 人 (Anne, Ali 和 Jane) ， 没 有 她 们 的 帮助 和 支持 ， 我 是 不 可 能 完成 本 书 


的 写作 的 。 尤 其 是 我 的 女儿 Jane， 我 要 特别 谢谢 她 。 她 利用 自己 校对 和 编辑 方面 的 天 赋 ， 在 通读 
全 书 的 过 程 中 给 了 我 巨大 的 帮助 ， 帮 助 我 发 现 和 校正 了 大 量 的 拼写 错误 和 语法 错误 。 
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软件 工程 导论 





这 一 部 分 的 目标 是 对 软件 工程 做 一 般 性 的 介绍 。 将 介绍 软件 工程 的 一 些 
重要 概念 ， 如 软件 过 程 和 敏捷 方法 。 描 述 软件 开发 中 的 基本 活动 ， 从 初始 的 
软件 描述 到 系统 进化 。 这 部 分 的 各 章 设计 为 支持 软件 工程 一 个 学 期 的 课程 。 

第 1 章 是 一 个 概述 ， 介 绍 了 专业 软件 工程 并 定义 了 一 些 软件 工程 的 概 
念 ， 也 就 软件 工程 职业 道德 方面 的 问题 进行 了 简短 的 讨论 。 我 认为 软件 工程 
师 们 认真 思考 所 从 事 工作 的 深远 影响 是 很 重要 的 。 这 一 章 也 介绍 了 贯穿 本 书 
使 用 的 3 个 案例 研究 ， 分 别 是: 保存 正在 接受 心理 健康 问题 治疗 的 病人 记录 
的 系统 、 治 疗 糖 尿 病 患者 的 便携 式 胰岛 素 泵 的 控制 系统 和 野外 气象 系统 。 

第 2 章 和 第 3 章 分 别 介绍 软件 工程 过 程 和 敏捷 开发 。 第 2 章 介绍 常用 的 
软件 过 程 模型 ， 如 瀑布 模型 ， 也 介绍 了 这 些 软 件 过 程 中 的 基本 活动 。 第 3 章 
增加 了 一 个 关于 软件 工程 的 敏捷 开发 方法 的 讨论 。 我 喜欢 使 用 极限 编程 作为 
敏捷 方法 的 例子 ,这 里 也 简要 地 介绍 了 Scrum 的 内 容 。 

这 部 分 剩余 的 各 章 是 对 在 第 2 章 中 介绍 的 软件 过 程 活动 的 深入 阐述 。 第 
4 章 讲解 需求 工程 的 最 为 重要 的 话题 ， 对 系统 应 该 做 什么 的 需求 给 予 了 定 
义 。 第 5 章 介 绍 使 用 UML 语言 对 系统 建 模 ， 专 注 于 用 例 图 、 类 图 、 时 序 图 
和 状态 图 这 些 软件 系统 建 模 的 方法 。 第 6 章 介 绍 体 系 结构 设计 、 体 系 结构 的 
重要 性 以 及 在 软件 设计 中 体系 结构 模式 的 使 用 。 

第 7 章 介绍 面向 对 象 的 设计 和 设计 模式 的 使 用 ， 还 介绍 了 重要 的 实现 问 
题 一 一 复 用 、 配 置 管理 、 宿 主机 -目标 机 的 开发 ， 并 且 讨 论 了 开源 开发 。 第 
8 章 主要 介绍 软件 测试 ， 从 系统 开发 时 的 单元 测试 到 软件 的 发 布 测试 。 此 
外 ， 第 8 章 还 讨论 了 测试 驱动 开发 的 使 用 ， 这 是 在 敏捷 方法 中 率先 使 用 的 一 
种 方法 ， 现 在 已 经 得 到 广泛 应 用 。 最 后 ， 第 9 章 概述 软件 进化 问题 ， 包 括 进 
化 过 程 、 软 件 维护 和 遗留 系统 管理 。 
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目标 

本 章 的 目标 是 介绍 软件 工程 的 概念 ， 并 为 理解 本 书 其 他 部 分 内 容 提供 一 个 框架 。 读 完 本 章 ， 
你 将 了 解 以 下 内 容 : 

a 什么 是 软件 工程 ， 为 什么 它 很 重要 ; 

u 开发 不 同类 型 的 软件 系统 可 能 需要 不 同 的 软件 工程 方法 ; 

m 道德 和 职业 问题 对 于 软件 工程 的 重要 性 ; 

a 介绍 3 个 不 同类 型 的 软件 系统 ， 这 3 个 系统 将 作为 贯穿 全 书 的 例子 。 


现代 社会 离 不 开 软 件 。 国 家 基础 设施 和 公共 建设 都 是 由 基于 计算 机 的 系统 控制 ， 大 多 数 的 
电子 产品 都 有 计算 机 和 控制 软件 。 工 业 制 造 和 分 销 已 经 完全 计算 机 化 了 ,金融 系统 也 是 这 样 。 娱 
乐 业 ， 包 括 音乐 产业 、 计 算 机 游戏 产业 、 电 影 和 电视 产业 ， 也 是 一 个 软件 密集 型 的 产业 。 因 此 ， 
软件 工程 对 于 一 个 国家 和 整个 国际 社会 的 运转 都 是 必 不 可 少 的 。 

软件 是 抽象 的 、 不 可 触摸 的 ， 它 不 受 物质 材料 的 限制 ， 也 不 受 物理 定律 或 加 工 过 程 的 制约 ， 
这 一 方面 使 软件 工程 得 以 简化 ， 因 为 软件 的 潜能 不 受 物理 因素 的 限制 ; 另 一 方面 ， 由 于 缺乏 自然 
约束 ， 软 件 系统 也 就 很 容易 变 得 极为 复杂 ， 理 解 它 会 很 困难 、 改 变 它 价格 高 昂 。 

从 简单 的 嵌入 式 系统 到 复杂 的 全 球 信息 系统 ， 有 很 多 不 同类 型 的 软件 系统 。 正 是 由 于 不 同 
的 软件 系统 需要 不 同 的 技术 ， 所 以 试图 为 软件 工程 寻求 通用 的 符号 系统 、 方 法 和 技术 是 毫 无 意 
义 的 。 开 发 一 个 机 构 信 息 系统 和 开发 一 个 科学 仪器 的 控制 器 是 完全 不 同 的 。 而 这 些 系统 都 跟 图 
形 密集 型 的 计算 机 游戏 没有 太 多 的 共同 点 。 所 有 这 些 应 用 都 需要 软件 工程 ,但 不 是 都 需要 相同 
的 软件 工程 技术 。 

现在 仍 有 许多 有 关 软 件 项 目 出 问题 和 “软件 失败 ”的 报道 。 软 件 工程 因 不 能 充分 支 
持 现代 软件 的 开发 而 遭 非 议 。 然 而 ， 在 我 看 来 ， 这 些 所 谓 的 软件 失败 源 于 以 下 两 方面 的 
原因 : 

1. 不 断 增长 的 需求 ”由 于 新 的 软件 工程 技术 可 以 帮助 我 们 构建 更 大 更 复杂 的 系统 ， 用 户 的 
需要 因而 在 发 生 改 变 。 系 统 必须 更 快速 地 构建 并 交付 ; 需要 更 大 更 复杂 的 系统 ; 系统 必须 具备 在 
以 前 看 来 不 可 能 实现 的 功能 。 现 有 的 软件 工程 方法 已 经 不 能 应 对 新 形势 ， 而 新 的 软件 工程 技术 
还 有 待 于 进一步 发 展 。 

2 期望 值 太 低 ”不 采用 软件 工程 的 方法 和 技术 去 编写 计算 机 程序 相对 来 讲 要 容易 一 些 。 许 
多 公司 因为 他 们 的 产品 和 服务 在 逐步 发 展 而 在 软件 开发 中 随波逐流 。 他 们 通常 不 使 用 软件 工程 
方法 。 结 果 导 致 他 们 的 软件 比 预 计 的 费用 高 且 不 可 靠 。 因 此 我 们 需要 更 好 的 软件 工程 教育 和 实 
践 来 解决 此 类 问题 。 

软件 工程 人 员 应 该 为 自己 所 做 出 的 成 绩 感到 自豪 。 当 然 我 们 在 开发 复杂 软件 时 还 存在 问题 ， 
但 如 果 没 有 软件 工程 ， 我 们 就 不 能 探索 太空 ， 也 就 没有 因特网 和 现代 的 远程 通信 ， 各 种 形式 的 旅 
行 就 会 很 危险 且 花 费 很 高 。 软 件 工 程 在 它 诞生 以 后 的 不 长 时 间 里 就 已 做 出 了 巨大 贡献 。 我 坚信 : 
随 着 软件 工程 这 门 学 科 的 不 断 成 熟 ， 它 对 21 世纪 的 贡献 将 是 不 可 估量 的 。 
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软件 工程 的 历史 
“软件 工程 ”这 一 概念 是 在 1968 年 召开 的 一 个 当时 被 称 作 “软件 危机 ”的 会 议 上 首次 提 
keg (Naur 和 Randell, 1969) 。 当 时 ， 单 个 的 程序 开发 技术 已 经 不 能 扩展 从 而 应 用 到 大 型 的 、 
复杂 的 软件 系统 中 。 软 件 项 目 有 时 其 至 要 推迟 几 年 才能 完成 ， 而 且 比 预计 的 费用 高 、 不 可 靠 、 
难以 维护 。 

20 世纪 70 年 代 和 80 年 代 ， 各 种 新 的 软件 工程 技术 和 方法 都 得 到 了 发 展 ， 例 如 结构 化 纺 
程 、 信 息 隐 藏 和 面向 对 象 开 发 。 工 具 和 标准 的 符号 系统 得 以 研究 和 发 展 且 现 在 得 到 了 更 广泛 
的 使 用 。 











http; //www. SoftwareEngineering-9. com/Web/History/ 


1.1 专业 化 软件 开发 


许多 人 都 在 编写 程序 。 业 务 人 员 编 写 电 子 表格 程序 来 简化 工作 ， 科 学 家 和 工程 师 编 写 程序 
来 处 理 实验 数据 ， 业 余 爱 好 者 为 了 自己 的 兴趣 和 爱好 也 编写 程序 。 然 而 ， 绝 大 多 数 的 软件 开发 是 
个 专业 化 的 活动 ， 软 件 的 开发 是 达到 为 了 特定 的 业务 目的 ， 是 为 了 植 人 到 其 他 的 设备 、 作 为 软件 
产品 ， 例 如 信息 系统 、CAD 系统 等 。 那 些 除了 开发 者 外 还 有 其 他 用 户 使 用 的 专业 化 软件 通常 都 
是 由 团队 开发 而 不 是 某 个 人 独自 完成 的 ， 在 其 生命 周期 内 要 不 断 维护 和 修改 。 

软件 工程 的 目的 是 支持 专业 化 的 软件 开发 ， 而 不 是 个 体 编程 。 它 包括 支持 程序 描述 、 设 计 和 
进化 的 相关 技术 ， 而 这 些 都 不 是 个 体 软 件 开发 所 需要 的 。 为 了 使 大 家 对 什么 是 软件 工程 有 一 个 
大 体 的 认识 ， 图 1-1 总 结 了 一 些 常 见 的 问题 。 





= R 

计算 机 程序 和 相关 文档 。 软 件 产品 可 针对 特定 客户 开发 或 为 通用 市 场 开发 
好 的 软件 应 具有 用 户 所 需 的 功能 与 性 能 ， 而 且 应 该 可 维护 、 可 靠 、 可 用 
软件 工程 是 关于 软件 生产 的 各 个 方面 的 工程 学 科 


软件 描述 、 软 件 开发 、 软 件 验 证 以 及 软件 进化 















什么 是 优良 软件 的 特点 
什么 是 软件 工程 
什么 是 基本 的 软件 工程 
活动 































| “软件 工程 和 计算 机 科学 
有 何 区 别 


软件 工程 和 系统 工程 有 
何 区 别 


软件 工程 面临 的 主要 挑 
战 是 什么 


什么 是 软件 工程 的 成 本 


计算 机 科学 侧重 理论 和 基础 ， 而 软件 工程 则 侧重 于 软件 开发 和 交付 的 实际 活动 


系统 工程 侧重 基于 计算 机 系统 的 开发 的 所 有 方面 ， 包 括 硬 件 、 软 件 和 过 程 工程 。 
软件 工程 只 是 这 个 总 体 过 程 中 的 一 部 分 


不 断 增 长 的 多 样 性 、 减 少 交付 时 间 以 及 开发 可 靠 的 软件 的 要 求 
软件 开发 成 本 约 占 总 成 本 的 60% ,测试 成 本 占 40% 。 对 于 定制 软件 而 言 ， 进 化 成 
本 常常 高 于 开发 成 本 


由 于 所 有 的 软件 项 目 都 必须 进行 专业 化 的 管理 和 开发 ， 所 以 不 同 的 技术 应 适用 于 
不 同类 型 的 系统 。 例 如 ， 游 戏 开发 需要 一 系列 原型 ， 而 安全 要 求 极 高 的 控制 系统 开 
基 生 二 “个 完整 的 和 亲 分 析 的 描述 。 因 此 ， 你 不 能 单纯 地 评判 一 种 方法 比 另 一 种 广 
法 更 


Web 给 软件 工程 带 来 了 Web 带 来 了 软件 服务 的 可 用 性 ， 以 及 开发 高 品质 的 基于 服务 的 分 布 式 系统 的 可 能 
F 性 。 基 于 Web 的 系统 开发 极 大 地 促进 了 编程 语言 和 软件 复 用 的 发 展 


H 
LI 
图 1-1 关于 软件 的 常见 问题 


许多 人 把 软件 等 同 于 计算 机 程序 ， 其 实 这 种 理解 是 很 狭隘 的 。 在 我 们 讨论 软件 工程 时 ， 软 件 
包括 程序 和 所 有 使 程序 正确 运行 所 需要 的 相关 文档 和 配置 信息 。 一 个 专业 化 开发 的 软件 系统 通 





























三 
什么 才 是 最 好 的 软件 工 
程 技术 和 方法 
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第 一 部 分 ”软件 工程 导论 


常 远 不 止 一 个 程序 。 系 统 通常 包含 一 些 单独 的 程序 、 用 于 设置 这 些 程序 的 配置 文件 ， 可 能 还 包括 
描述 系统 结构 的 系统 文档 和 解释 如 何 使 用 该 系统 的 用 户 文档 ， 以 及 告知 用 户 下 载 最 新 产品 信息 
的 Web 站 点 。 

这 是 专业 软件 开发 与 业余 软件 开发 的 一 个 重要 区 别 。 如 果 你 只 是 自己 编写 一 个 程序 ， 且 
除 你 自己 之 外 没有 别 的 用 户 的 话 ， 你 就 不 用 写 程序 指南 和 设计 文档 等 。 然 而 ， 如 果 你 的 软件 
有 别 的 用 户 ， 并 且 别 的 工程 师 会 去 修改 它 的 话 ， 你 就 必须 提供 除了 程序 源码 之 外 的 其 他 附带 
的 信息 。 

软件 工程 人 员 关 心 的 是 软件 产品 〈 即 能 卖 给 客户 的 软件 ) 的 开发 。 软 件 产品 有 以 下 两 类 ; 

l. 通用 软件 产品 ”由 软件 开发 机 构 制作 ， 在 市 场 上 公开 销售 ， 可 以 独立 使 用 。 这 类 软件 产 
品 有 数据 库 软 件 、 字 处 理 软件 、 绘 图 软件 以 及 工程 管理 工具 等 。 还 包括 用 于 特定 目的 的 所 谓 的 
“垂直 ”应 用 产品 ， 如 图 书馆 信息 系统 、 财 务 系统 等 。 

2. 定制 软件 产品 ”这些 产品 受 特定 的 客户 委托 ， 由 软件 承包 商 专门 为 这 类 客户 开发 。 这 类 
软件 有 电子 设备 的 控制 系统 、 特 定 的 业务 处 理 系统 和 空中 交通 管制 系统 等 。 

这 两 类 产品 的 一 个 重要 区 别 在 于 : 在 通用 软件 产品 中 ， 软 件 描述 由 开发 者 自己 完成 ， 而 定制 
软件 产品 ， 其 软件 描述 通常 是 由 客户 给 出 ， 开 发 者 必须 按 客户 要 求 进 行 开 发 。 

然而 ， 这 两 类 产品 之 间 的 界线 正在 变 得 越 来 越 模糊 。 现 在 更 多 的 公司 从 一 个 通用 软件 产品 
开始 进行 定制 处 理 ， 以 满足 特别 客户 的 具体 要 求 。 企 业 资源 规划 (ERP) 这 类 系统 ， 如 SAP X 
统 ， 就 是 这 种 方法 的 一 个 最 好 见证 。 像 这 样 的 一 个 庞大 而 复杂 的 系统 ， 需 要 适 过 嵌入 一 系列 信 
息 ， 比 如 说 业务 和 操作 规则 以 及 各 种 报表 等 ， 以 适应 一 个 新 企业 。 

软件 除了 提供 相应 的 功能 以 外 ， 作 为 一 个 产品 它 还 有 一 系列 相关 的 反映 质量 的 属性 。 这 些 
属性 不 直接 涉及 软件 的 功能 ， 而 是 反映 软件 在 执行 时 的 行为 以 及 源 程序 的 结构 、 组 织 及 相关 的 
文档 。 软 件 对 用 户 查 询 的 响应 时 间 和 程序 代码 的 可 理解 性 就 属于 这 类 属性 〈 有 时 称 为 非 功 能 性 
属性 ) 。 l 

软件 系统 在 具体 应 用 中 ， 用 户 可 能 会 要 求 其 具有 特殊 的 属性 。 例 如 ， 银 行 系统 必须 安全 可 
靠 、 交 互 式 游戏 必须 响应 快 、 电 话 交 换 系 统 必须 可 靠 等 ， 这 些 都 是 设计 精良 的 软件 系统 必须 具有 
的 属性 ， 这 些 属性 归纳 于 图 1-2 中 。 这 些 属性 也 是 专业 化 软件 系统 应 具备 的 基本 属性 。 



















软件 必须 能 够 不 断 进化 以 满足 客户 的 需求 变化 ， 这 是 软件 产品 最 根本 的 特性 ， 因 为 
工作 环境 是 不 断 变 化 的 ， 软 件 也 必然 要 跟着 变化 


软件 可 依赖 性 还 包括 一 些 特性 : 可 靠 性 、 保 密 性 、 安 全 性 。 可 靠 的 软件 在 系统 失败 
的 情况 下 ， 也 不 会 导致 物理 性 损害 和 经 济 损失 。 有 恶意 的 人 员 不 能 访问 或 破坏 系统 


软件 不 要 浪费 内 存 和 处 理 器 等 系统 资源 ， 因 而 有 效 性 应 包括 响应 时 间 、 处 理 时 间 和 
内 存 利用 率 等 方面 


可 用 性 软件 必须 简单 易 用 ， 容 易 被 用 户 接受 。 这 就 意味 着 ， 它 必须 是 容易 理解 的 、 易 用 的 
并 且 和 其 他 系统 是 兼容 的 




















图 12 好 软件 的 重要 属性 


1.1.1 软件 工程 


软件 工程 是 一 门 工程 学 科 ， 涉 及 软件 生产 的 各 个 方面 ， 从 最 初 的 系统 描述 一 直到 投入 使 用 
后 的 系统 维护 ， 都 属于 其 学 科 范 畴 。 在 软件 工程 的 定义 中 有 两 个 关键 词 ， 
1. 工程 学 科 于 什么 事情 都 离 不 开工 程 人 员 ， 他 们 既 拥 有 一 定 的 理论 、 方 法 和 工具 ， 又 能 
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有 选择 地 利用 它们 ， 即 使 在 没有 可 用 的 理论 和 方法 的 情况 下 ， 也 能 够 力求 找 出 解决 问题 的 方法 。 
同时 他 们 也 认识 到 必须 在 机 构 或 财政 状况 所 人 允许 的 限度 内 工作 ， 即 在 此 限度 内 寻找 解决 办 法 。 

2. 软件 生产 的 各 个 方面 ”软件 工程 不 仪 涉及 软件 开发 的 技术 过 程 ， 也 涉及 诸如 软件 项 目 管 
理 以 及 对 那些 支持 软件 生产 的 工具 、 方 法 和 理论 的 开发 等 活动 。 

工程 都 是 要 求 在 时 间 表 和 预算 范围 内 获得 所 要 求 的 品质 的 成 果 。 这 就 要 求 我 们 在 此 有 个 折 
中 , 工程 人 员 不 能 是 完美 主义 者 。 人 们 为 自己 编写 软件 的 时 候 往 往 是 可 以 在 上 面 花费 任意 的 时 
间 的 。 

总 之 ， 软 件 工程 人 员 在 其 工作 中 运用 的 是 系统 的 、 有 组 织 的 方法 ， 因 为 这 种 方法 对 于 制作 高 
质量 的 软件 通常 是 最 有 效 的 。 然 而 工程 就 是 为 各 种 情况 选择 最 恰当 的 解决 办 法 ， 因 而 更 具 创造 
力 的 、 不 太 规范 的 开发 方法 在 某 些 情况 下 可 能 是 很 有 效 的 。 不 太 规范 的 开发 尤其 适用 于 基于 Web 
的 系统 开发 ， 后 者 需要 融合 软件 设计 和 图 形 设计 技巧 。 

软件 工程 之 所 以 重要 有 两 方面 的 原因 : 

1. 个 人 和 社会 越 来 越 多 地 依赖 于 先进 的 软件 系统 。 这 就 需要 我 们 能 够 既 经 济 又 快速 地 生产 
出 可 依赖 和 值得 信赖 的 系统 。 

2. 从 长 远 来 看 ， 运 用 软件 工程 方法 和 技术 去 开发 软件 系统 比 单纯 为 个 人 程序 项 目 写 程序 更 
加 便宜 。 对 于 大 多 数 类 型 的 系统 来 说 ， 绝 大 多 数 的 钱 都 花费 在 软件 投入 使 用 后 对 软件 的 变更 上 。 

软件 工程 中 系统 化 的 方法 有 时 候 也 叫 软件 过 程 。 软 件 过 程 是 指 制作 软件 产品 的 一 组 活动 及 
其 结果 。 这 些 活动 主要 由 软件 工程 人 员 完 成 。 所 有 的 软件 过 程 都 包含 4 项 基本 的 活动 ， 它 们 是 : 

1. 软件 描述 ”客户 和 工程 师 定义 所 要 生产 的 软件 以 及 对 其 操作 的 一 些 约束 。 

2. 软件 开发 ”软件 得 以 设计 和 编程 实现 。 

3， 软 件 有 效 性 验证 ”软件 经 过 检查 以 保证 它 就 是 客户 所 需要 的 。 

4. 软件 进化 ”软件 随 不 同 的 客户 和 变化 的 市 场 需求 而 进行 修改 。 

不 同类 型 的 系统 需要 不 同 的 软件 开发 过 程 。 举 例 来 说 ， 对 于 飞机 上 所 使 用 的 实时 软件 ， 我 们 
就 需要 在 开发 开始 之 前 做 好 全 部 的 软件 描述 工作 。 而 对 于 像 电子 商务 这 类 系统 ， 描 述 和 编程 往 
往 是 交织 在 一 起 的 。 因 此 ， 这 些 基 本 活动 会 以 各 种 方式 组 织 在 一 起 ， 并 且 描 述 的 详细 程度 也 随 软 
件 类 型 的 不 同 而 不 同 。 在 第 2 章 中 我 们 还 要 详细 讨论 软件 过 程 。 

软件 工程 还 涉及 计算 机 科学 和 系统 工程 : 

1. 计算 机 科学 研究 的 是 支撑 计算 机 和 软件 系统 的 理论 和 方法 ， 而 软件 工程 则 研究 软件 制作 
中 的 实际 问题 。 正 如 电子 工程 师 必须 具有 一 定 的 物理 学 知识 一 样 ， 软 件 工程 人 员 同 样 必须 具有 
一 定 的 计算 机 科学 知识 。 计 算 机 科学 理论 通常 更 适用 于 相对 较 小 的 程序 。 对 于 大 型 的 或 是 复杂 
的 需要 用 软件 解决 的 问题 ， 计 算 机 科学 的 经 典 理论 不 可 能 总 是 适用 的 。 

2. 系统 工程 是 研究 有 关 复 杂 系 统 的 开发 和 进化 的 方方面面 ， 此 类 系统 中 软件 起 着 重要 的 作 
用 。 因 而 ， 系 统 工程 就 涉及 硬件 部 署 、 策 略 和 过 程 设 计 、 系 统 实施 ， 也 包括 软件 工程 。 系 统 工程 
人 员 的 工作 包括 系统 定义 ,定义 它 的 总 体 体系 结构 ， 然 后 集成 各 个 组 件 以 完成 整个 系统 。 他 们 较 
少 关注 系统 各 组 件 〈 硬 件 、 软 件 等 ) 的 工程 问题 。 

如 在 下 一 节 的 讨论 所 述 ， 我 们 将 看 到 许多 种 不 同类 型 的 软件 。 没 有 一 种 通用 的 软件 工程 方 
法 和 技术 适合 于 所 有 的 软件 。 然 而 大 体 上 却 主 要 有 3 个 方面 的 问题 影响 着 大 多 数 类 型 的 软件 。 

1. RRE 人 们 越 来 越 要 求 系统 像 基 于 网 络 的 分 布 式 系统 一 样 运行 ， 而 网 络 中 包含 不 同类 
型 的 计算 机 和 移动 设备 。 除 了 在 通用 的 计算 机 上 运行 之 外 ， 有 些 软件 可 能 还 需要 在 手机 上 运行 。 
有 时 必须 将 新 软件 集成 到 遗留 系统 中 ， 这 些 遗 留 系 统 可 能 是 用 其 他 语言 写成 的 。 这 样 带 来 的 挑 
战 是 ， 必须 开发 新 技术 ， 制 作 可 靠 的 软件 ， 从 而 足以 灵活 应 对 这 种 多 样 性 。 

2. 业务 和 社会 的 变革 随 着 新 经 济 成 长 和 新 技术 的 不 断 涌现 ， 业 务 和 社会 正在 发 生 着 前 所 
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未 有 的 快速 变革 。 这 对 现存 软件 的 变更 和 快速 地 开发 出 新 软件 提出 新 需求 。 很 多 传统 的 软件 工 
程 技术 是 费时 的 ， 新 系统 的 交付 往往 远 远 滞后 于 预先 的 计划 。 因 此 技术 必须 进化 ， 在 不 损 及 系统 
质量 的 前 担 下 ， 缩 短 大 型 、 复 杂 系 统 的 交付 时 间 。 

3. 安全 和 可 信 ”软件 和 我 们 生活 的 方方面面 息息相关 ， 最 关键 的 一 点 是 软件 要 让 人 们 信 得 
过 。 这 对 于 那些 通过 网 页 或 Web 服务 界面 访问 的 远程 软件 系统 来 说 尤其 重要 。 我 们 必须 确保 有 
恶意 的 人 员 不 能 攻击 软件 ， 不 会 危及 信息 安全 。 

当然 ， 以 上 问题 也 不 是 孤立 的 。 例 如 ， 有 时 需要 快速 修改 遗留 系统 ， 使 之 易于 通过 Web 服 
务 界 面 提供 服务 。 为 了 应 对 这 些 挑战 ， 我 们 需要 有 新 的 工具 和 技术 ， 以 及 融合 和 使 用 现 有 软件 工 
程 方法 的 创新 举措 。 


1.1.2 软件 工程 的 多 样 性 


软件 工程 是 生产 软件 的 系统 化 的 方法 ， 它 考虑 到 了 实际 成 本 、 进 度 、 可 靠 性 等 问题 ， 以 及 软 
件 生产 者 和 消费 者 的 需要 。 怎 样 实施 这 个 系统 化 的 方法 取决 于 软件 开发 机 构 、 软 件 类 型 和 开发 
过 程 中 的 人 员 。 没 有 一 个 通用 的 软件 工程 方法 和 技术 适合 所 有 的 系统 和 公司 。 多 样 的 软件 工程 
方法 和 工具 已 经 进化 了 50 多 年 。 

也 许 决 定 使 用 哪 种 软件 工程 方法 和 技术 主要 取决 于 要 开发 的 应 用 的 类 型 。 这 里 有 许多 不 同 
类 型 的 应 用 : 

l. 独立 的 应 用 ”这 类 应 用 运行 在 本 地 计算 机 上 ， 比 如 PC。 它们 拥有 所 有 必要 的 功能 但 不 需 
要 连接 到 网 络 上 。 这 类 应 用 有 PC 上 的 办 公 软 件 、CAD、 图 片 处 理 软 件 等 。 

2. 以 交易 为 基础 的 交互 式 应 用 ”这 类 应 用 在 远程 计算 机 上 执行 ， 用户 通过 自己 的 PC 或 终端 
进行 访问 。 显 然 ， 这些 应 用 包括 Web 应 用 ， 例 如 电子 商务 应 用 ， 你 可 以 通过 和 一 个 远程 系统 交 
互 购买 商品 或 服务 。 这 类 应 用 还 包括 业务 系统 ， 一 个 企业 通过 Web 浏览 器 或 者 特殊 的 客户 端 程 
序 以 及 基于 云 服务 允许 用 户 访问 它们 的 系统 ， 比 如 邮件 和 照片 共享 。 交 互 式 系统 通常 包含 大 规 
模 的 数据 存储 ， 这 些 数据 在 每 一 次 交易 中 被 访问 和 刷新 。 

3. 嵌入 式 控 制 系统 ”这 类 应 用 有 一 个 软件 控制 系统 控制 和 管理 硬件 设备 。 赔 入 式 系统 在 数 
量 上 远 远 多 过 其 他 类 型 的 系统 。 包 括 移动 电话 中 使 用 的 软件 、 汽 车 上 控制 防 抱 死 的 软件 ， 以 及 微 
波 炉 上 控制 豪 饪 过 程 的 软件 。 

4. 批 处 理 系统 ”设计 这 类 业务 系统 用 来 处 理 大 批量 的 数据 。 它 们 处 理 大 量 的 单个 输入 以 创 
建 相应 的 输出 。 这 类 系统 包括 定期 账单 系统 ， 比 如 手机 账单 系统 和 工资 支付 系统 。 

5. 娱乐 系统 ”这 类 系统 主要 是 个 人 用 户 用 于 娱乐 。 大 多 数 的 这 类 系统 是 各 种 各 样 的 游戏 。 
这 类 系统 所 提供 的 交互 质量 是 娱乐 系统 和 其 他 系统 的 一 个 重要 区 别 。 

6. 建 模 和 仿真 系统 ”科学 家 和 工程 师 用 这 类 系统 模拟 物理 过 程 或 环境 ， 这 里 有 许多 独立 且 
相互 交互 的 对 象 。 通 常 是 计算 密集 型 的 ， 需 要 高 性 能 的 并 行 系统 才能 运行 。 

7 数据 采集 系统 ”这 类 系统 用 一 些 传感器 从 环境 中 采集 数据 并 发 送 这 些 数据 给 其 他 系统 进 
行 处 理 。 软 件 必须 能 同 传感器 进行 交互 且 通 常 是 安装 在 恶劣 环境 中 ， 比 如 安装 在 发 动机 内 部 或 
者 是 荒 郊 野外 。 

8， 集 成 的 系统 ”这 类 系统 是 由 许多 其 他 的 软件 系统 所 构成 的 。 其 中 -一些 为 通用 软件 产品 ， 
比如 电子 表格 程序 。 其 他 的 一 些 可 能 是 专门 为 这 个 环境 编写 的 软件 。 

当然 ， 这 些 类 型 软件 之 间 的 边界 是 模糊 的 。 如 果 你 开发 一 个 手机 游戏 ， 你 必须 与 手机 软件 开 
发 者 一 样 考虑 相同 的 约束 〈 电 源 、 硬 件 交 互 ) 。 批 处 理 系统 通常 和 基于 Web 的 系统 配合 使 用 。 例 
如 ， 一 个 公司 的 差旅费 报销 可 能 通过 Web 应 用 提交 ， 但 却 在 批 处 理应 用 中 处 理 以 便 每 月 支付 。 

每 种 类 型 的 软件 都 有 不 同 的 特征 ， 因 此 需要 使 用 不 同 的 软件 工程 技术 。 例 如 ， 汽 车 上 的 伦 人 
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式 控制 系统 是 对 安全 性 要 求 极 高 的 ， 在 车 上 安装 时 要 烧 制 到 ROM 中 。 因 此 一 旦 发 生 改 变 就 会 十 
分 昂贵 。 这 样 的 一 个 系统 应 得 到 全 面 的 核查 和 校 验 ， 以 确保 售后 因为 软件 问题 被 召回 的 可 能 性 
最 小 。 用 户 的 交互 在 这 里 是 很 少 的 〈 或 许 根本 就 没有 ) ， 因 此 没有 必要 使 用 依赖 于 用 户 接口 原型 
的 开发 过 程 。 

基于 Web 的 系统 ， 可 能 适合 用 多 代 式 开 发 和 交付 ， 使 得 系统 可 以 包含 很 多 可 复 用 的 组 件 。 
然而 ， 这 个 技术 可 能 就 不 适合 用 在 集成 式 系统 上 ， 集 成 式 系统 要 求 预先 详细 定义 系统 之 间 的 交 
互 ， 以 便 每 个 系统 都 可 以 单独 进行 开发 。 

不 管 怎样 ， 还 是 有 很 多 软件 工程 的 基本 方法 适用 于 所 有 类 型 的 软件 系统 : 

1. 应 使 用 有 管理 的 和 理解 了 的 开发 过 程 进行 开发 。 软 件 开发 机 构 应 规划 它们 的 开发 过 程 ， 
并 清楚 地 知道 应 产 出 什么 以 及 什么 时 候 完 工 。 当 然 ， 对 于 不 同类 型 的 软件 使 用 不 同 的 开发 过 程 。 

2. 可 依赖 性 和 性 能 对 所 有 类 型 的 系统 来 说 都 很 重要 。 软 件 应 该 如 所 期 待 的 那样 表现 ， 没 有 
失败 且 在 用 户 需 要 的 时 候 是 可 用 的 。 它 应 该 是 操作 安全 的 ， 只 要 可 能 ， 它 应 该 是 信息 安全 的 ， 能 
抵御 来 自 外 部 的 攻击 。 系 统 应 是 高 效 的 且 不 会 浪费 资源 。 

3. 理解 和 管理 系统 描述 和 需求 (系统 应 该 做 的 是 什么 ) 是 很 重要 的 。 你 必须 知道 不 同 的 客 
户 和 用 户 的 期 望 是 什么 ， 然 后 你 必须 管理 这 些 期 望 以 便 在 预算 范围 内 按期 交付 一 个 有 用 的 系统 。 

4. 你 应 该 尽 可 能 高 效 地 使 用 当前 存在 的 资源 。 这 就 意味 着 ， 你 应 该 在 适当 的 地 方 复 用 已 开 
发 的 软件 ， 而 不 是 重新 写 一 个 新 软件 。 

这 些 开 发 过 程 的 基本 概念 、 可 依赖 性 、 需 求 、 管 理 和 复 用 是 这 本 书 的 重要 主题 。 不 同 的 方法 
以 不 同 的 方式 反映 这 些 概念 ， 但 它们 是 所 有 专业 化 软件 开发 的 基础 。 

你 应 该 注意 到 这 些 概念 没有 涉及 实现 和 编程 。 在 本 书 中 ,不 涉及 具体 的 编程 技术 是 因为 不 
同 的 系统 使 用 的 技术 是 有 很 大 不 同 的 。 例 如 ， 基 于 Web 的 系统 编程 使 用 如 Ruby 一 类 的 脚本 语 
言 ， 而 这 类 语言 完全 不 适合 府 人 式 系统 工程 。 


1.1.3 软件 工程 和 Web 


万 维 网 的 发 展 已 经 对 我 们 的 生活 产生 了 深远 的 影响 。 最 初 ，Web 只 是 一 种 可 以 广泛 被 访问 
的 信息 源 ， 对 软件 系统 几乎 没有 影响 。 这 些 系统 在 本 地 计算 机 上 运行 ， 且 只 是 由 同一 机 构 内 部 的 
人 访问 。2000 EZA, Web 开始 演化 ,浏览 器 添加 了 越 来 越 多 的 功能 。 这 就 意味 着 基于 Web 的 
系统 的 开发 已 经 不 再 是 建立 一 种 特殊 的 用 户 界 面 ， 而 是 允许 用 户 通过 浏览 器 访问 这 些 系统 。 这 
就 导致 了 大 量 新 系统 产品 的 开发 ， 通 过 万 维 网 访问 的 方式 提供 新 服务 。 这 些 系 统 通常 是 依赖 广 
告 赞 助 ， 广 告 显示 在 用 户 屏 幕 上 ， 不 需要 用 户 直 接 付费 。 

除了 这 些 系统 产品 之 外 ， 开 发 可 以 运行 小 程序 和 运行 一 些 本 地 处 理 程序 的 Web 浏览 器 ， 导 
致 了 业务 和 机 构 软件 的 演化 。 不 同 于 将 写 好 的 软件 部 署 在 PC 上 运行 ， 这 些 软件 现在 部 署 在 Web 
服务 器 上 。 因 为 不 必 在 每 一 台 PC 上 安装 软件 ， 这 就 使 得 变更 和 升级 软件 已 经 非常 便宜 。 由 于 用 
户 界 面 的 开发 格外 昂贵 ， 这 就 更 节约 了 成 本 。 因 此 ， 只 要 可 能 的 话 ， 许 多 公司 就 会 将 软件 系统 放 
到 Web 服务 器 上 ， 通 过 Web 浏览 器 完成 各 种 先前 的 业务 。 

基于 Web 系统 开发 的 下 一 个 阶段 是 Web 服务 的 概念 。Web 服务 是 软件 的 一 个 组 成 部 分 ， 它 
提供 特殊 有 用 的 服务 并 通过 Web 访问 。 应 用 程序 就 是 通过 集成 可 能 由 不 同 公司 提供 的 Web 服务 
所 构造 的 。 在 原理 上 ， 应 用 程序 在 运行 时 的 连接 是 动态 的 ， 这 样 一 个 应 用 就 可 以 在 每 次 执行 的 时 
候 使 用 不 同 的 Web 服务 。 第 19 章 将 介绍 这 种 软件 开发 技术 。 ' 

最 近 几 年 产生 了 一 种 观点 一 一 “软件 就 是 一 种 服务 ”"。 人 们 提出 的 方案 是 ， 软 件 不 再 在 本 地 
计算 机 上 运行 ， 而 是 将 它 放 在 所 谓 的 “计算 云 ” 里， 通过 因特网 访问 。 假 如 你 用 了 诸如 网 络 邮 
件 的 服务 ， 你 就 用 了 基于 云 的 系统 。 一 个 计算 去 是 被 很 多 用 户 共享 的 一 个 庞大 的 互联 在 -起 的 
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计算 机 集群 系统 。 用 户 只 需 依 照 使 用 软件 的 次 数 付费 而 不 需要 购买 软件 ， 或 是 可 以 免费 使 用 ， 但 
会 在 屏幕 上 看 到 广告 。 

因此 ，Web 的 出 现 使 业务 软件 在 组 成 上 发 生 了 显著 的 改变 。 在 没有 Web 之 前 ， 绝 大 多 数 的 
业务 应 用 都 是 大 一 统 的 ， 单 个 的 程序 运行 在 单个 计算 机 上 或 是 一 个 计算 机 群 上 。 通 信和 是 在 本 地 
和 机 构 内 部 进行 的 。 现 在 ,软件 是 高 度 分 布 式 的 ， 有 了 时 要 横贯 整个 地 球 。 业 务 应 用 不 再 是 从 头 开 
始 编写 程序 ， 而 是 涉及 对 组 件 和 程序 的 大 规模 复 用 。 

显然 ， 这 种 软件 组 织 的 显著 变化 导致 了 以 网 络 为 基础 的 系统 设计 的 变化 。 比 如 ; 

l. 软件 复 用 已 经 成 为 构建 基于 Web 的 系统 的 主要 技术 。 当 你 在 构造 这 样 的 系统 时 就 需要 考 
虑 怎样 从 已 有 的 软件 组 件 和 系统 开始 工作 。 

2. 现在 人 们 普遍 认识 到 ， 提 前 指定 这 些 系统 的 所 有 需求 是 不 切实 际 的 。 应 逐步 开发 和 交付 
这 种 基于 Web 的 系统 。 

3. 用 户 界面 受到 Web 浏览 器 能 力 的 约束 。 尽 管 类 似 于 AJAX (Holdener, 2008) 这 样 的 技术 
可 以 在 浏览 器 内 创建 丰富 的 界面 ， 但 这 些 技术 目前 还 是 非常 难 用 。 用 Web 表格 加 本 地 脚本 的 方 
式 更 常用 一 些 。 在 基于 Web 的 系统 上 的 应 用 界面 通常 比 专门 为 PC 系列 产品 专门 设计 的 用 户 界面 
Be, 

前 面 一 节 讨 论 的 软件 工程 的 基本 思想 ， 同 样 也 适用 于 基于 Web 的 软件 ， 如 同 其 他 类 型 的 软 
件 一 样 。 在 20 世纪 从 大 型 软件 开发 所 获得 的 经 验 仍然 可 以 指导 我 们 构造 基于 Web 的 软件 系统 。 


1.2 软件 工程 人 员 的 职业 道德 

和 其 他 工程 人 员 一 样 ， 软 件 工 程 人 员 必 须 承 认 他 们 的 工作 不 仅仅 是 技术 的 应 用 ， 还 要 担负 
许多 责任 。 他 们 的 工作 是 在 法 律 和 社会 认可 的 框架 内 完成 的 。 软 件 工程 人 员 要 想 受 人 尊敬 ， 其 行 
为 就 必须 合乎 道德 ， 必 须 有 责任 感 。 

软件 工程 人 员 必 须 坚持 诚实 正直 的 行为 准则 ， 这 是 不 言 而 喻 的 。 他 们 不 能 用 掌握 的 知识 和 
技能 做 不 诚实 的 事情 ， 更 不 能 给 软件 工程 行业 抹黑 。 然 而 ， 在 有 些 方面 ， 某 些 行为 没有 法 律 加 以 
规范 ， 只 能 靠 职业 道德 来 约 东 ， 这 种 约束 是 软弱 无 力 的 。 包 括 ; 

1. 保密 ”工程 人 员 必 须 严格 保守 雇主 或 客户 的 机 密 ， 而 不 管 是 否 签署 了 保密 协议 。 

2. 工作 能 力 ”工程 人 员 应 该 实事 求 是 地 表述 自己 的 工作 能 力 ， 不 应 有 意 接受 超出 自己 能 力 
的 工作 。 

3， 知识 产 权 ”工程 人 员 应 当知 晓 有 关 专 利 权 、 著 作 权 等 知识 产权 的 地 方法 律 ， 必 须 谨慎 行 
事 , 消 保 雇主 和 客户 的 知识 产权 受到 保护 。 

4. 计算 机 滥用 ”软件 工程 人 员 不 应 运用 自己 的 技能 滥用 他 人 的 计算 机 。 滥 用 计算 机 有 时 对 
他 人 影响 不 大 〈 如 在 雇主 的 机 器 上 玩 游戏 ) ， 但 有 些 时 候 后 果 非 常 严 重 (传播 病毒 ) 。 

在 这 一 方面 职业 协会 和 机 构 肩负 重任 。ACM、IEEE (电气 和 电子 工程 师 协 会 ) 和 英国 计算 
机 协会 等 组 织 颁布 了 职业 行为 准则 或 职业 道德 准则 ， 凡 是 加 入 这 些 组 织 的 成 员 必须 严格 遵守 。 
这 些 行为 准则 只 涉及 基本 的 道德 行为 。 

ACM 和 IEEE 还 联合 推出 了 一 个 关于 职业 道德 和 职业 行为 的 准则 ， 有 两 个 版 本 ， 一 个 比较 简 
短 ， 见 图 13; 另 一 个 较 长 〈 Gotterbam 等 ，1999) ， 增 加 了 一 些 细节 和 要 义 ， 并 把 简写 版 中 放 在 
后 面 的 理论 阐述 进行 归纳 后 放 在 了 头 两 段 : 

计算 机 在 商业 、 工 业 、 政 府 、 医 药 、 教 育 、 娱 乐 和 整个 社会 中 的 核心 作用 日 渐 突出 。 坎 件 工 
程 人 员 是 直接 参与 或 讲授 软件 系统 的 分 析 、 描 述 、 设 计 、 开 发 、 认 证 、 维 护 和 测试 的 人 员 。 基 于 
他 们 在 软件 系统 开发 中 的 地 位 ， 软 件 工程 人 员 可 能 将 事情 做 好 也 可 能 做 坏 ， 还 可 能 让 他 人 或 影 
响 他 人 将 事情 做 好 或 做 坏 。 为 了 最 大 限度 地 保证 他 们 的 工作 是 有 益 的 ， 软 件 工 程 人 员 必 须 保证 
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使 软件 工程 业 成 为 对 社会 有 益 的 、 受 人 尊敬 的 行业 。 基 于 以 上 保证 ， 软 件 工程 人 员 应 当 遵守 下 面 
的 道德 和 职业 行为 准则 。 

本 行为 准则 包括 和 项 基本 原则 ， 针 对 包括 软件 工程 行业 的 从 业者 、 教 育 者 、 管 理 者 、 监 督 
者 、 政 策 制定 者 、 接 受 培 训 者 和 学 生 在 内 的 职业 软件 工程 人 员 。 这 八条 原则 阐明 了 人 个人、 团队 和 
机 构 之 间 职 业 道德 上 的 责任 关系 以 及 他 们 在 其 中 应 该 履行 的 基本 义务 。 每 一 原则 的 条 款 都 表述 
了 这 些 关系 中 的 一 些 义务 。 这 些 义务 既 基 于 软件 工程 人 员 的 人 性 ， 也 对 那些 受 他 们 的 工作 和 坎 
件 工程 实践 的 独特 环境 影响 的 人 们 表示 出 特别 的 关怀 。 本 准则 把 这 些 内 容 规 定 在 任何 一 个 自称 
为 或 渴望 成 为 软件 工程 人 员 的 义务 中 。 








软件 工程 职业 道德 和 职业 行为 准则 
( ACM/IEEE-CS 联合 制定 以 规范 软件 工程 行业 的 职业 道德 和 职业 行为 ) 
序 言 

准则 的 简写 版 把 对 软件 工程 人 员 的 要 求 做 了 高 度 抽 象 的 概括 ， 完 整 版 中 的 条 款 把 这 些 要 求 细 化 ， 并 给 出 了 
实例 ,用 以 规范 软件 工程 专业 人 员 的 工作 方式 。 没 有 这 些 总 体 要 求 ， 所 有 的 细节 都 是 教条 而 又 枯燥 的 ; 而 没有 
这 些 细节 ， 总 体 要 求 就 会 变 成 空洞 的 高 调 。 只 有 把 二 者 紧密 结合 才能 形成 有 机 的 行为 准则 。 

软件 工程 人 员 应 当 作出 承诺 ， 使 软件 的 分 析 、 描 述 、 设 计 、 开 发 、 测 试 和 维护 等 工作 对 社会 有 益 且 受 人 尊 
重 。 基 于 对 公众 健康 、 安 全 和 福利 的 考虑 ， 软 件 工程 人 员 应 当 遵守 以 下 8 条 原则 : 
- 公众 感 一 一 软件 工程 人 员 应 始终 与 公众 利益 保持 一 致 。 
客户 和 雇主 一 一 软件 工程 人 员 应 当 在 与 公众 利益 保持 一 致 的 前 担 下 ， 保 证 客户 和 雇主 的 最 大 利益 。 
产品 一 一 软件 工程 人 员 应 当 保证 他 们 的 产品 及 其 相关 附件 达到 尽 可 能 高 的 行业 标准 。 
-判断 力 一 一 软件 工程 人 员 应 当 具 备 公正 和 独立 的 职业 判断 力 。 
.管理 一 一 软件 工程 管理 者 和 领导 者 应 当 维 护 并 倡导 合乎 道德 的 有 关 软 件 开 发 和 维护 的 管理 方法 。 
， 职 业 感 一 一 软件 工程 人 员 应 当 弘扬 职业 正义 感 和 荣誉 感 ， 尊 重 社会 公众 利益 。 
同事 一 一 软件 工程 人 员 应 当 公平 地 对 待 和 协助 每 一 位 同事 。 
自己 一 一 软件 工程 人 员 应 当 毕生 学 习 专业 知识 ， 倡 导 合 乎 职业 道德 的 职业 活动 方式 。 
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图 1-3 ACM/IEEE 职业 道德 准则 (© IEEE/ACM 1999) 


因为 不 同 的 人 有 不 同 的 观点 和 目标 ， 产 生 道 义 困境 是 难免 的 。 打 个 比方 ， 假 如 你 原则 上 不 移 
成 公司 高 级 管理 层 的 决策 ， 你 该 怎么 办 ? 显然， 这 要 看 每 个 人 的 个 性 和 不 赞成 的 原因 了 。 是 在 团 
队 内 部 坚持 自己 的 观点 并 据 理 力争 ， 还 是 坚持 原则 毅然 辞职 ， 哪 种 做 法 是 最 好 的 呢 ? 如 果 你 觉得 
一 个 软件 项 目 有 问题 ， 你 会 选择 什么 时 机 向 管理 层 报 告 呢 ? 如 果 只 是 在 怀疑 ， 这 时 向 管理 层 报告 
未 免 有 点 过 敏 ， 如 果 抢 很 长 时 间 才 报告 管理 层 ， 则 有 可 能 延误 了 解决 难题 的 时 机 。 

在 我 们 的 职业 生涯 中 ， 每 个 人 都 会 面临 这 些 困惑 ， 幸 运 的 是 ， 在 多 数 情 况 下 ， 这 些 困惑 要 么 
不 严重 ， 要 么 不 难 解决 。 如 果 这 些 困 惑 解 不 开 ， 工 程 人 员 也 许 要 面 对 另 一 个 问题 一 辞职， 但 这 
样 做 会 影响 到 其 他 人 ， 如 影响 同伴 或 自己 的 孩子 。 

当 雇 主 的 行为 不 合乎 道德 时 ， 职 业 工 程 人 员 的 处 境 尤 为 艰难 。 比 如 ，- 个 公司 负责 开发 对 安 
全 性 要 求 极 高 的 系统 ， 由 于 时 间 紧 张 而 窜改 了 安全 的 有 效 性 验证 记录 ， 这 时 工程 人 员 的 责任 是 
保守 机 密 、 提 醒 客户 注意 ， 还 是 以 一 定 的 方式 向 客户 披露 交付 的 系统 可 能 不 安全 ? 

这 里 的 问题 在 于 安全 不 是 绝对 的 。 尽 管 系统 没有 按照 事先 给 定 的 标准 去 验证 安全 有 效 性 ， 
但 这 些 标准 很 可 能 过 于 苛刻 。 系 统 或 许 在 整个 生命 周期 过 程 中 一直 都 能 安全 运行 。 还 可 能 有 另 
外 一 种 情况 : 即使 有 效 性 得 到 了 准确 验证 ， 最 后 系统 仍然 可 能 失败 而 导致 灾难 发 生 。 早 期 披露 这 
些 问题 将 使 雇主 和 其 他 雇员 蒙受 损失 ， 如 果 隐 瞒 这些 问题 又 会 对 其 他 人 极为 不 利 。 

在 这 个 问题 上 必须 有 自己 的 主见 。 上 述 情况 中 洪 在 的 灾难 、 灾 难 的 严重 程度 以 及 灾难 的 受 
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害 者 ， 这 些 因素 都 将 影响 决定 的 做 出 。 如 果 情 况 非常 危险 ， 就 应 该 通过 一 定 的 方式 披露 出 来 ,但 
这 时 还 应 该 同时 尊重 雇主 的 权利 。 

另 一 个 道德 问题 是 军事 项 目 和 核 项 目的 参与 。 许 多 人 已 强烈 地 意识 到 这 个 问题 ， 不 想 参与 
到 军事 项 目 中 。 有 的 人 则 愿意 开发 军事 系统 ， 但 不 能 涉及 武器 系统 。 然 而 ， 另 有 一 些 人 认为 国防 
具有 压倒 一 切 的 重要 性 ， 反 对 参与 武器 系统 的 开发 是 毫 无 道理 的 。 

在 上 述 情况 中 ， 雇 主 和 所 有 雇员 事先 相互 沟通 各 自 的 观点 非常 重要 。 若 以 一 个 机 构 的 形式 
参与 军事 系统 或 核 系 统 的 开发 ， 应 该 确保 每 个 雇员 都 自愿 接受 工作 安排 。 同 样 ， 如 果 雇 员 已 经 明 
确 表 示 他 们 不 愿意 参加 这 类 项 目 ， 雇 主 就 不 应 该 在 日 后 给 他 们 施加 压力 。 

随 着 软件 密集 型 系统 越 来 越 多 地 渗透 到 人 们 的 日 常 工作 和 生活 中 ， 普 通 领 域 中 道德 和 职业 
上 的 责任 问题 越 来 越 受到 关注 。 这 个 问题 的 讨论 可 以 从 哲学 的 角度 研究 道德 问题 的 基本 原理 ， 
而 软件 工程 职业 道德 的 研究 可 以 参照 这 些 基本 原理 。Laudon (1995) 就 采用 这 种 方法 ， 而 Huff 
和 Martin (1995) 则 基本 不 用 这 种 方法 。Johnson 在 关于 计算 机 道义 方面 的 论述 (2001) 也 涉及 
此 话题 ， 他 是 从 哲学 角度 论 起 的 。 

我 认为 用 折 学 的 研究 方法 太 过 抽象 ， 很 难 与 我 们 的 日 常生 活 联系 起 来 。 我 比较 推崇 更 具体 
的 研究 方法 ， 并 将 其 与 行为 和 实践 准则 相 结合 。 道 德 问题 的 研究 最 好 要 联系 软件 工程 的 实际 ， 而 
不 是 将 其 作为 一 个 孤立 的 问题 来 研究 。 因 此 ， 本 书 中 没有 抽象 的 道德 问题 的 讨论 ， 只 在 适当 的 地 
方 讨论 基本 的 道德 问题 ， 如 练习 中 的 一 些 例子 。 


1.3 案例 研究 


在 本 书 中 ， 为 了 介绍 清楚 软件 工程 的 概念 ， 我 用 了 来 自 3 种 不 同类 型 的 系统 的 实例 ， 并 将 其 
贯穿 全 书 。 我 之 所 以 没有 使 用 单一 案例 是 因为 ， 这 本 书 要 传递 的 一 个 关键 信息 就 是 软件 工程 的 
实践 取决 于 要 构造 的 系统 的 类 型 。 因 此 ， 在 解释 概念 的 时 候 我 针对 不 同 的 概念 选择 了 合适 的 例 
子 ， 这 些 概念 包括 如 安全 性 和 可 依赖 性 、 系 统 建 模 、 复 用 等 。 

用 于 案例 的 3 种 类 型 的 系统 分 别 是 : 

1. 嵌入 式 系统 一 一 系统 的 软件 控制 硬件 设备 并 谋 人 在 这 个 设备 中 。 诅 入 式 系统 的 典型 问 
题 包括 物理 尺寸 、 响 应 性 、 电 源 管 理 等 。 本 书 嵌 人 式 系统 的 例子 是 一 个 软件 系统 控制 的 医疗 
设备 。 

2. 信息 系统 一 一 这 个 系统 的 主要 目的 是 管理 和 提供 对 信息 数据 库 的 访问 服务 。 信 息 系 统 的 
主要 问题 包括 信息 安全 性 、 可 用 性 、 耻 私 和 维护 数据 的 完整 性 。 信 息 系统 的 例子 是 一 个 医疗 数据 
系统 。 

3. 基于 传感器 的 数据 采集 系统 一 一 这 个 系统 的 主要 目的 是 从 多 个 传感器 收集 数据 并 以 适当 
的 方式 处 理 数据 。 这 类 系统 的 关键 需求 是 可 依赖 性 ， 甚 至 是 在 极端 环境 条 件 下 的 可 靠 运 行 、 可 维 
护 性 。 数 据 采集 系统 的 例子 是 一 个 野外 气象 站 。 

本 章 对 这 些 系统 做 了 大 致 的 介绍 ， 更 多 的 信息 可 从 网 上 得 到 。 


1.9.1 胰岛 素 泵 控制 系统 


胰岛 素 泵 是 一 个 仿真 胰腺 (一 种 体内 组 织 ) 运转 的 医疗 系统 。 此 系统 的 软件 控制 部 分 是 一 
个 媒人 式 系统 ， 它 从 传感器 收集 数据 ， 然 后 控制 泵 输送 指定 剂量 的 胰岛 素 给 患者 。 

糖尿 病 患 者 使 用 这 个 系统 。 糖 尿 病 是 一 种 常见 病症 ， 是 由 于 人 体 无 法 产生 足够 数量 的 胰岛 
素 而 引起 的 。 胰 岛 素 在 血液 中 起 到 促进 葡萄 糖 新 陈 代谢 的 作用 。 糖 尿 病 的 传统 治疗 方法 是 长 其 
规律 地 注射 人 工 胰岛 素 。 通 过 使 用 一 种 外 部 仪器 测量 糖尿 病 患者 的 血糖 值 ， 从 而 计算 所 需要 注 
射 的 胰岛 素 剂量 。 


Bim 概 述 


这 个 治疗 方法 存在 的 问题 是 ， 血 液 中 的 胰岛 素 浓度 不 仅 与 血液 中 的 葡萄 糖 浓 度 相关 ， 还 与 
最 后 一 次 注射 胰岛 素 的 时 间 有 关 。 这 样 有 可 能 导致 血糖 浓度 太 低 〈 当 胰岛 素 太 多 时 ) ， 或 血糖 浓 
度 太 高 〈 当 胰岛 素 太 少时 ) 。 短 时 间 内 的 低 血 糖 是 一 种 比较 严重 的 情况 ， 会 导致 暂时 的 脑 功能 障 
碍 ， 最 后 失去 知觉 甚至 死亡 。 长 期 处 于 高 血糖 则 会 导致 眼睛 损伤 、 肾 损伤 和 心脏 问题 。 

目前 在 开发 微型 传感器 方面 取得 的 进步 使 得 自动 胰岛 素 传 送 系 统 开发 成 为 可 能 。 系 统 监 控 
血糖 浓度 ， 根 据 需 要 输送 适当 的 胰岛 素 。 这 样 的 胰岛 素 输送 系统 已 经 在 临床 中 得 到 使 用 了 。 在 将 
来 有 可 能 将 这 样 的 系统 永久 地 植 和 糖尿病 患者 体内 。 

该 系统 使 用 一 个 植 人 在 人 体内 的 微 传 感 顺 来 测量 一 些 血 液 参 数 ， 这 些 参数 与 血糖 浓度 成 正 
比 。 这 些 参 数 被 送 到 泵 控制 器 。 控 制 器 计算 血糖 浓度 ， 得 出 胰岛 素 需 要 量 ， 然 后 向 一 个 小 型 化 的 
泵 发 送信 号 使 之 通过 持久 连接 的 针头 输送 胰岛 素 。 

图 1-4 给 出 了 胰岛 素 泵 的 硬件 组 件 和 组 成 结构 。 要 理解 本 书 中 系统 的 实际 例子 ， 关 键 是 要 知 
道 血液 传感器 测量 血液 在 不 同情 况 下 的 电 传 导 率 ， 而 这 些 值 是 和 血糖 浓度 相关 的 。 胰 岛 素 泵 输 
送 一 个 单位 的 胰岛 素 就 会 使 控制 器 发 送 一 个 简单 的 脉冲 。 因 此 输送 10 个 单位 的 胰岛 素 ， 控 制 器 
就 会 向 泵 发 送 10 个 脉冲 。 图 1-5 是 一 个 UML 活动 模型 ， 描 述 了 怎样 将 输入 的 血 精 浓 度 值 转换 为 
驱动 胰岛 素 泵 的 命令 序列 。 





图 1-5 胰岛 素 泵 的 活动 模型 


显然 ,这 是 个 安全 性 要 求 极 高 的 系统 。 若 此 系统 的 操作 失败 ， 将 会 危及 病人 的 健康 ， 病 人 其 
至 因 血 糖 浓度 过 低 或 者 过 高 引起 午 迷 。 因 而 在 这 个 胰岛 素 输 送 系 统 中 ， 有 两 个 高 级 别 的 紧要 需 
求 是 系统 所 必须 达到 的 ，; 

L 当 需 要 输入 胰岛 素 的 时 候 这 个 系统 能 够 输送 胰岛 素 。 

2 系统 必 须 能 可 靠 地 运行 ， 并 根据 当前 血糖 浓度 输入 正确 剂量 的 胰岛 素 。 

因此 系统 的 设计 和 实现 必须 确保 能 满足 这 些 需 求 。 本 书 将 在 后 面 的 章节 介绍 更 多 的 具体 需 
求 并 讨论 如 何 确保 系统 的 安全 性 。 
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13.2 ”用 于 心理 健康 治疗 的 患者 信息 系统 


支持 心理 健康 治疗 的 患者 信息 系统 是 一 个 医疗 信息 系统 ， 它 维护 着 心理 疾病 患者 接受 治疗 
的 信息 。 大 多 数 有 心理 问题 的 人 不 需要 住院 治疗 ， 但 是 需要 定期 去 那些 详细 了 解 他 们 病情 的 专 
科 诊 所 看 医生 。 为 了 方便 病人 看 病 ， 这 些 诊所 不 只 是 在 医院 里 ， 也 有 可 能 开 在 当地 私人 诊所 或 社 
区 中 心 。 

MHC-PMS (心理 健康 治疗 - 患者 管理 系统 ) 是 打算 在 诊所 使 用 的 一 个 信息 系统 。 它 利用 一 
个 患者 信息 的 中 心 数据 库 ， 也 可 以 运行 在 PC 计算 机 上 ， 这 样 它 就 可 以 在 即使 没有 安全 的 网 络 连 
接 的 地 方 运行 了 。 在 有 安全 的 网 络 连接 时 ， 他 们 可 以 从 数据 库 中 获取 用 户 信息 并 复制 到 本 地 ， 当 
没有 网 络 连接 时 ， 系 统 可 以 利用 下 载 的 患者 信息 。 这 个 系统 不 是 一 个 完备 的 医疗 数据 系统 ， 因 而 
不 需要 维护 其 他 方面 的 信息 。 然 而 ， 它 可 以 与 其 他 诊所 信息 系统 互通 并 交换 数据 。 图 1-6 说 明了 
MHC-PMS 的 组 成 。 | 





图 1-6 MHC-PMS 的 组 成 


MHC-PMS 有 两 个 总 体 目标 : 

l. 生成 管理 信息 ， 使 医疗 卫生 管理 部 门 能 够 据 此 评估 本 地 和 政府 在 此 方面 的 执行 情况 。 

2. 为 医疗 服务 人 员 提 供 及 时 的 相关 信息 以 保证 对 病人 的 治疗 。 

精神 卫生 问题 的 特性 决定 了 患者 常常 错过 预约 时 间 ， 故意 或 意外 遗失 处 方 和 药品 ， 不 听 医 
生 嘱 只 ,并 对 医务 人 员 提 出 无 理 要 求 ， 不 期 而 至 等 。 在 少数 情况 中 ， 他 们 可 能 对 自己 和 他 人 造成 
危害 。 他 们 可 能 经 常 更 换 住址 ， 或 长 期 或 短期 地 离 家 出 走 。 如 果 病 人 是 危险 的 ， 他 们 可 能 需要 被 
“隔离 ”"， 即 限定 在 一 个 安全 的 医院 接受 治疗 和 观察 。 

系统 的 用 户 包 括 医 务 人 员 如 医生 、 护 士 和 家 庭 护士 (上门 检查 健康 状况 的 护士 )。 非 医务 用 
户 包 括 负 责 预 约 的 接待 员 、 负 责 维 护 系统 医疗 数据 的 工作 人 员 ， 以 及 负责 生成 报告 的 行政 人 员 。 

系统 负责 记录 病人 信息 姓名、 地址 、 年 龄 、 亲 属 等 )、 会 诊 (日 期 、 责 任 医生 、 对 病人 的 
主观 印象 等 ) 、 病 人 状况 和 治疗 方案 。 系 统 定期 产生 报告 供 医务 工作 人 员 和 卫生 部 门 管理 者 使 
用 。 通 常 医务 工作 人 员 关 注 的 是 单个 病人 的 信息 ， 而 用 于 管理 目的 的 报告 往往 是 隐 去 患者 姓名 
等 信息 的 ， 关 注 统计 意义 上 的 患者 状况 、 治 疗 的 花费 等 。 

这 个 系统 的 主要 特征 是 : 

1. 病例 管理 ”医生 可 以 为 病人 创建 记录 、 在 系统 中 编辑 信息 、 查 看 病人 历史 等 。 系 统 支 持 
数据 汇总 ， 这 样 某 个 先前 未 接触 过 病人 的 医生 也 可 以 快速 了 解 此 病人 的 主要 问题 和 当前 的 治疗 
情况 。 

2. 病人 监测 ”系统 定期 监测 那些 正在 接受 治疗 的 病人 的 记录 ， 若 探测 到 可 疑问 题 就 会 发 出 
提醒 。 因 此 ， 若 某 个 病人 好 长 时 间 都 没有 看 医生 了 ， 系 统 就 会 发 出 通知 。 此 监测 系统 最 重要 的 一 
个 特点 是 能 够 对 强制 隔离 的 病人 保持 跟踪 ， 以 确保 在 正确 的 时 间 能 够 对 其 进行 合乎 法 律 要 求 的 
例 行 检查 。 
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3. 管理 报告 ”系统 产生 月 度 管理 报告 ， 显 示 每 个 诊所 接 治 的 病人 数目 、 进 入 和 离开 护理 系 
统 的 病人 数目 、 受 到 强制 隔离 的 病人 数目 、 处 方药 物 的 使 用 情况 及 其 价格 等 。 

有 了 两 项 法 律 条 款 影 响 该 系统 。 一 个 是 有 关 个 人 信息 保密 性 的 数据 保护 法 ， 另 一 个 是 有 关 强 
制 监禁 被 认为 对 病人 自己 和 他 人 会 造成 伤害 的 病人 的 心理 健康 法 。 心 理 健康 在 这 方面 是 很 独特 
的 ， 因 为 它 是 唯一 的 可 以 违背 病人 的 意愿 将 其 拘留 的 医学 专业 。 这 是 受到 非常 严格 的 立法 保护 
的 。MHC-PMS 系统 的 目的 之 一 就 是 确保 工作 人 员 总 是 能 够 按照 法 律 的 规定 工作 ， 且 他 们 对 病人 
的 所 有 处 理 得 以 记录 下 来 并 能 够 在 必要 的 时 候 经 得 起 司法 审查 。 

像 所 有 的 医疗 系统 一 样 ， 隐 私 是 一 个 要 求 极 高 的 系统 需求 。 病 人 信息 是 保密 的 ， 不 能 暴露 给 
除 相关 医护 人 员 和 病人 自己 之 外 的 任何 人 。MHC-PMS 也 是 一 个 安全 性 要 求 极 高 的 一 个 系统 。 一 
些 精 神 疾病 可 导致 病人 自杀 或 者 对 其 他 人 造成 人 身 伤 害 。 系 统 应 尽 可 能 向 医护 人 员 警示 潜在 有 
自杀 倾向 或 者 有 危害 倾向 的 病人 。 

系统 的 总 体 设计 必须 同时 考虑 路 私 和 安全 两 个 方面 的 需求 。 系 统 必须 是 有 效 的 ， 不 然 的 话 
其 安全 性 就 会 大 打折 扣 ， 使 得 医生 不 能 及 时 为 病人 拿 出 治疗 方案 。 这 里 有 一 个 潜在 的 冲突 ， 即 当 
系统 数据 只 有 单个 拷贝 时 ， 隐 私 是 最 容易 维护 的 。 然 而 ， 为 确保 在 服务 器 失败 或 没有 连接 网 络 时 
系统 的 有 效 性 ， 会 存在 和 维护 多 份 数据 拷贝 。 本 书后 面 章 节 会 讨论 这 些 需 求 间 的 平衡 问题 。 


1.3.3 野外 气象 站 


为 了 监控 偏远 地 区 的 气候 变化 、 提 高 气象 预报 的 准确 度 ， 那 些 幅 员 辽 阔 的 国家 的 政府 会 在 
偏远 地 区 部 署 几 百 个 气象 站 。 这 些 气象 站 通过 一 组 装置 来 采集 气象 数据 ， 比 如 温度 、 气 压 、 光 
照 、 降 雨 、 风 速 和 风向 。 

野外 气象 站 只 是 一 个 更 大 系统 的 一 部 分 CILE 127) ， 该 大 系统 是 一 个 从 气象 站 采集 数据 并 
能 将 其 提供 给 其 他 系统 处 理 的 气象 信息 系统 。 图 1-7 中 的 系统 包括 : 

1. 气象 站 系统 ”该 子 系统 负责 收集 气象 数据 ， 做 一 些 初始 处 理 ， 然 后 传输 给 数据 管理 系统 。 

2. 数据 管理 与 存档 系统 ”该 子 系统 从 野外 气象 站 收集 数据 ， 执 行 数 据 处 理 与 分 析 ， 将 数据 
存储 为 容易 被 其 他 子 系统 如 天 气 预 报 系统 检索 的 格式 。 

3. 气象 站 维护 系统 ”该 子 系统 可 以 通过 卫星 与 所 有 野外 气象 站 通信 ， 监 控 它们 的 运行 状态 ， 
并 报告 出 现 的 问题 。 还 可 以 更 新 这 些 气象 站 上 的 肉 和 人 式 软件 。 当 某 个 野外 气象 站 系统 出 问题 时 ， 
此 系统 还 可 以 远程 控制 出 问题 的 野外 气象 站 系统 。 

在 图 1-7 中 ,使 用 UML 包 的 符号 来 表示 每 个 系统 都 是 (system) (system) 
一 个 组 件 的 集合 ， 并 且 采 用 UML 标记 《system》 描述 所 有 
的 独立 系统 。 包 之 间 的 关联 表示 包 与 包 之 间 存 在 信息 交 
H, 但 目前 我 们 没 必要 对 它们 做 更 详细 的 描述 。 

每 一 个 气象 站 都 有 许多 采集 天 气 数据 的 仪器 ， 比 如 风 上 
速 、 风 向 、 气 温 、 气 压 、24 小 时 降雨 量 等 。 所 有 这 些 设 备 图 1-7 气象 站 的 环境 
都 是 在 软件 系统 的 控制 下 周期 性 地 读 和 人 并 管理 所 采集 到 的 数据 。 

气象 站 系统 进行 气象 数据 观察 的 频率 是 很 高 的 ， 比 如 对 温度 的 测量 需 每 分 钟 测量 一 次 。 然 
而 ， 由 于 卫星 带宽 相对 较 窗 ， 气 象 站 需要 在 本 地 对 数据 进行 一 些 处 理 和 存储 。 然 后 当 数据 收集 系 
统 请 求 数据 时 ， 提 交 存 储 在 本 地 的 数据 。 假 如 因为 某 个 因素 导致 通信 连接 不 成 功 ， 气 象 站 在 本 地 
继续 保留 数据 ， 直 到 通信 恢复 。 

每 个 气象 站 都 是 独立 电池 供电 的 ， 而 且 完全 是 自我 管理 的 。 没 有 外 部 供电 或 有 线 电缆 存在 。 
所 有 的 通信 都 是 通过 相对 慢 速 的 卫星 连接 。 气 象 站 必须 包含 自我 充电 的 机 制 ， 比 如 太阳 能 或 风 
能 。 由 于 它们 是 部 署 在 妓 外 的 ， 直 接 暴露 在 各 种 恶劣 环境 条 件 下 ， 还 有 可 能 被 动物 毁坏 。 因 此 气 
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象 站 软件 不 能 仅仅 只 是 做 到 数据 采集 。 它 还 必须 做 到 以 下 几 点 : 

1. 监控 仪器 、 电 源 、 通 信和 硬件 ， 并 向 管理 系统 报告 故障 。 

2. 管理 系统 电源 ， 确 保 电池 在 环境 条 件 允 许 的 情况 下 得 到 充电 ， 也 确保 在 恶劣 天 气 情况 下 ， 
比如 大 风 天 气 ， 及 时 关闭 发 电机 以 免 受 到 破坏 。 

3， 人 多 许 动态 配置 ， 在 部 分 软件 版 本 更 新 时 ,或 者 是 当 系 统 发 生 失 败 而 切换 备份 装置 时 。 

因为 气象 站 必须 是 自我 管理 和 无 人 看 管 的 ， 这 就 意味 着 尽管 数据 采集 功能 本 身 相 对 简单 ， 
但 软件 的 安装 是 复杂 的 


要 点 
a 软件 工程 是 一 门 涉及 软件 生产 的 各 个 方面 的 一 门 工程 学 科 。 
a 软件 产品 不 仅 是 程序 ， 还 包括 相关 文档 。 软 件 产 品 的 基本 属性 是 可 维护 性 、 可 靠 性 、 信 息 
安全 性 、 效 率 以 及 可 接受 性 。 
n 软件 过 程 包括 开发 软件 产品 过 程 中 的 所 有 活动 。 软 件 过 程 中 的 活动 主要 有 : 软件 描述 、 开 
发 、 有 效 验证 和 进化 。 
a 软件 工程 的 基本 概念 普遍 适用 于 所 有 类 型 的 系统 开发 。 这 些 基本 概念 包括 软件 过 程 、 可 靠 
性 、 信 息 安 全 性 、 需 求 以 及 复 用 。 
u 世界 上 存在 着 很 多 类 型 的 系统 。 每 一 种 类 型 的 系统 的 开发 都 需要 一 种 与 之 相 适 应 的 软件 工 
程 工具 和 技术 。 几 乎 不 存在 普 适 的 神奇 的 软件 设计 和 实现 技术 。 
u 软件 工程 的 基本 思想 适用 于 所 有 的 软件 系统 。 这 些 基本 思想 包括 有 管理 的 软件 过 程 、 软 件 
的 可 依赖 性 和 信息 安全 性 、 需 求 工程 和 软件 复 用 。 
里 软件 工程 人 员 对 软件 工程 行业 和 整个 社会 负 有 责任 ， 不 应 该 只 关心 技术 问题 。 
a 职业 协会 颁布 的 行为 准则 规定 了 一 RADAR RETIRE. 


(No silver bullet; Essence and accidents of software engineering) , RERS EX 发 表 的 时 间 较 
R, 但 仍然 是 一 般 性 介绍 软件 工程 问题 的 好 论文 。 在 过 去 的 13 年 中 ， 这 篇 论文 的 基本 要 点 没有 
改变 (F. P. Brooks, IEEE Computer, 20 (4), April 1987), http; //doi. ieeecomputersociety. org/ 
10. 1109/MC. 1987. 1663532, 

(Software Engineering Code of Ethics is approved》， 这 篇 文章 介绍 了 制定 ACM/IEEE 职业 道德 准 
则 的 背景 ， 这 个 准则 包括 一 个 简写 版 和 一 个 较 长 版 本 (D. Gotterbarn, K. Miller, and S. Rogerson, 
Comm. ACM, October 1999) http: //portal. acm. org/citation. cfm? doid 2317665. 317682, 

(Professional Issues in Software Engineering》， 这 是 一 本 讨论 法 律 、 职 业 和 道 德 问题 的 好 书 。 较 
之 其 他 理论 性 太 强 的 课本 ， 作 者 更 推崇 其 实用 方法 (F. Bott, A. Coleman, J. Eaton and 
D. Rowland, 3rd edition, 2000, Taylor &Francis) 。 

(IEEE Software, March/April 2002》， 这 是 一 本 专门 介绍 基于 Web 的 软件 开发 的 杂志 。 这 一 
领域 发 展 得 非常 快 ， 因 而 有 一 些 文章 有 一 点 过 时 ， 但 大 部 分 还 是 相关 的 (IEEE Software, 19 
(2), ，2002 ) http: //www2. computer. org/ portal/ web/ software。 

(A View of 20th and 21st Century Software Engineering) 这 本 书 是 第 一 代 最 杰出 的 一 些 软件 工 
EIEN APE TEEN 回顾 和 展望 。Barry Boehm 定义 了 永恒 的 软件 工程 原则 ， 但 也 提出 建议 认为 一 

常用 的 做 法 已 经 过 时 (B. Boehm, Proc. 28th Software Engineering Conf. , Shanghai, 2006), ht- 
tp: //doi. ieeecomputersociety. org/10. 1145/1134285. 1134288 , 

(Software Engineering Ethics) 是 IEEE Computer 的 专刊 ， 里 面 有 很 多 的 论文 (IEEE Computer, 
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42 (6), June 2009) , 
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解释 为 什么 专业 化 软件 不 仅仅 包括 为 用 户 所 开发 的 程序 。 

通用 软件 产品 并 发 和 定制 软件 开发 之 间 有 什么 不 同 ? 这 在 实际 应 用 中 对 通用 软件 产品 用 户 意味 着 
什么 ? 

软件 产品 应 该 具有 的 4 个 重要 属性 是 哪些 ? 另外 列举 出 4 个 可 能 有 意义 的 属性 。 

除了 蜡 质 性 挑战 、 业 务 和 社会 的 变革 、 安 全 和 可 信 ， 说 出 软件 工程 在 21 世纪 的 可 能 面临 的 其 他 问题 
和 挑战 。( 提示 : 比如 环境 。) 

参照 1. 1.2 节 讨 论 的 应 用 类 型 ， 举 例 解释 为 什么 设计 和 开发 不 同类 型 的 应 用 需要 专门 的 软件 工程 
技术 。 

解释 为 什么 软件 工程 的 基本 思想 适用 于 所 有 的 软件 系统 。 

解释 Web 的 普遍 使 用 是 怎么 改变 软件 系统 的 。 

职业 工程 人 员 是 否 应 该 和 医生 或 律师 一 样 要 颁发 资格 证 书 ? 讨论 一 下 。 

对 图 1-3 的 ACM/IEEE 职业 道德 准则 中 的 每 一 条 款 ， 举 出 一 个 恰当 的 例子 加 以 说 明 。 





.10 为 了 反 钨 ,很 多 国家 正 计 划 开 发 或 正在 开发 一 种 对 其 大 量 公民 及 其 行动 跟踪 的 计算 机 系统 。 显 然 这 


是 侵犯 个 人 隐私 权 的 做 法 。 对 开发 此 类 系统 作 伦 理 道德 方面 的 讨论 。 
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目标 

本 章 的 目标 是 介绍 软件 过 程 的 思想 一 一 软件 生产 的 一 组 互相 连贯 的 活动 。 读 完 本 章 ， 你 将 
了 解 以 下 内 容 : 

m 软件 过 程 和 软件 过 程 模型 的 概念 ; 

m 了 了 解 3 个 一 般 的 软件 过 程 模 型 及 何 时 使 用 它们 ; 

了 解 软 件 需 求 工 程 、 软 件 开发 、 测 试 和 进化 中 所 涉及 的 基本 过 程 活 动 ; 

m 理解 为 什么 软件 过 程 要 有 效 地 组 织 以 应 对 软件 需求 和 设计 上 的 变更 ; 

m 了 解 Rational 统一 过 程 (Rational Unified Process) 是 如 何 集成 好 的 软件 过 程 实践 来 产生 一 

个 可 适应 的 软件 过 程 。 


软件 过 程 是 一 组 引发 软件 产品 生产 的 活动 。 这 些 活动 可 能 是 使 用 像 Java 和 C 这 样 的 标准 编 
程 语言 从 头 开 始 的 一 步 步 的 软件 开发 。 然 而 ， 业 务 应 用 没有 必要 采用 这 种 做 法 。 现 在 业务 软件 通 
常 是 通过 扩展 和 修改 现 有 的 系统 、 或 通过 配置 和 集成 商业 现货 软件 或 系统 组 件 而 获得 。 

虽然 有 许多 不 同 的 软件 过 程 ， 但 所 有 软件 过 程 都 必须 具有 4 种 对 软件 工程 来 说 是 基本 的 活 
动 。 它 们 是 : 

1. 软件 描述 ”必须 定义 软件 的 功能 以 及 软件 操作 上 的 约束 。 

2. 软件 设计 和 实现 ”必须 生产 符合 描述 的 软件 。 

3. 软件 有 效 性 验证 ”软件 必须 得 到 有 效 性 验证 ， 即 确保 软件 是 客户 所 想 要 的 。 

4. 软件 进化 ”软件 必须 进化 以 满足 不 断 变 化 的 客户 需要 。 

在 很 多 时 候 ， 这 些 活动 只 是 所 有 软件 过 程 的 一 部 分 。 当 然 ， 在 实践 中 ,它们 本 身 就 是 复杂 
Bj, 还 包括 子 活动 如 需求 验证 、 体 系 结构 设计 、 单 元 测试 等 。 还 会 有 一 些 支持 活动 ， 如 文档 编写 
和 软件 配置 管理 。 

当 我 们 描述 和 讨论 所 谓 的 软件 过 程 时 ,我 们 总 是 谈论 过 程 中 的 活动 (如 数据 模型 的 定义 、 
设计 用 户 界面 等 ) 以 及 这 些 活动 的 顺序 。 然 而 ,除了 这 些 活动 以 外 ， 过 程 描 述 还 会 包括 : 

1. 产品 ， 这 是 软件 过 程 活动 的 结果 。 比 如 ， 体 系 结构 设计 活动 的 结果 可 能 是 得 到 一 个 软件 
体系 结构 的 模型 。 

2. 角色， 反映 了 人 在 软件 过 程 中 的 职责 。 如 项 目 经 理 、 配 置 经 理 、 程 序 员 等 。 

3. 前 置 和 后 置 条 件 ， 是 指 在 一 个 过 程 活动 执行 的 前 后 或 产品 生产 的 前 后 ， 陈 述 语句 为 真 。 
如 在 体系 结构 设计 开始 之 前 ， 一 个 前 置 条 件 可 能 是 客户 已 经 认可 了 所 有 的 需求 ; 在 此 活动 结束 
之 后 ， 后 置 条 件 可 能 是 对 体系 结构 描述 的 UML 模型 通过 了 审查 。 

软件 过 程 是 复杂 的 ， 且 像 所 有 智力 和 创造 性 过 程 一 样 ， 依 赖 于 人 们 的 决策 和 判断 。 并 不 存在 
什么 理想 的 软件 过 程 ， 大 多 数 机 构 有 自己 的 软件 开发 过 程 。 软 件 过 程 在 不 断 演 化 以 充分 利用 机 
构 中 人 的 能 力 和 所 开发 的 系统 的 特殊 性 质 。 对 于 某 些 系统 ， 如 安全 性 要 求 极 高 的 系统 ， 需 要 一 个 
结构 化 非常 好 的 开发 过 程 。 对 于 业务 系统 ， 由 于 它 需 要 适应 迅速 变化 的 需求 ， 就 需要 一 个 不 那么 
正式 但 很 灵活 的 过 程 。 

有 时 ， 软 件 过 程 被 分 为 计划 驱动 过 程 和 敏捷 过 程 两 类 。 计 划 驱 动 的 过 程 是 提前 计划 好 所 有 的 过 
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程 活 动 ， 然 后 按 计 划 去 考核 过 程 的 执行 。 在 敏捷 过 程 中 ， 如 第 3 章 介 绍 的 ， 计 划 是 增 量 式 的 ， 而 且 
很 容易 根据 不 断 变化 的 客户 需求 变更 过 程 。 正 如 Boehm 和 Tumer (2003) 所 讨论 过 的 那样 ， 不 同 的 
技术 适合 于 不 同类 型 的 软件 。 总 之 ， 你 需要 在 计划 驱动 的 过 程 和 敏捷 过 程 之 间 找 到 一 个 平衡 。 

虽然 没有 “理想 ”的 软件 过 程 ， 在 许多 机 构 中 仍 存在 很 大 的 改进 软件 过 程 的 空间 。 有 的 过 
程 可 能 包括 落后 的 技术 ,或 没有 利用 工业 化 的 软件 工程 的 很 多 最 佳 实践 。 甚 至 ， 许 多 机 构 在 它们 
的 软件 开发 过 程 中 仍然 没有 采用 软件 工程 方法 。 

软件 过 程 改 善 可 以 通过 过 程 标准 化 实现 ， 这 样 将 减少 在 一 个 机 构 中 多 样 的 软件 过 程 的 出 现 。 
这 会 带 来 诸多 好 处 ， 如 沟通 的 改善 、 缩 短 培训 时 间 、 使 自动 化 的 过 程 支持 更 经 济 。 标 准 化 也 是 在 
引入 新 的 软件 工程 方法 和 技术 以 及 好 的 软件 工程 实践 方面 非常 重要 的 第 一 步 。 第 26 章 将 深入 探 
讨 软件 过 程 改 善 这 一 主题 。 


2.1 软件 过 程 模型 


正如 第 1 章 所 讨论 的 ， 软 件 过 程 模型 是 软件 过 程 的 简化 表示 。 每 个 过 程 模型 都 是 从 一 个 特定 
的 侧面 表现 软件 过 程 ， 所 以 只 提供 过 程 的 部 分 信息 。 例 如 过 程 活动 模型 表现 了 这 些 活 动 和 它们 
的 顺序 ， 但 是 可 能 表现 不 出 人 们 在 这 些 活 动 中 的 角色 。 这 一 节 中 将 介绍 几 个 非常 一 般 的 过 程 模 
型 (有 时 也 叫做 “过 程 范 型 ") ， 并 从 体系 结构 的 角度 给 出 这 些 过 程 模型 ， 即 只 关心 过 程 的 框架 
而 不 注重 其 特别 活动 的 细节 。 

这 些 一 般 模型 不 是 软件 过 程 的 唯一 性 描述 ， 而 是 对 软件 过 程 一 种 有 用 的 抽象 ， 能 用 来 解释 软件 
开发 的 不 同方 法 。 你 可 以 把 它们 看 做 过 程 框架 ， 通 过 扩展 和 调整 以 创建 更 多 专门 的 软件 工程 过 程 。 

本 章 讨 论 的 过 程 模型 是 : 

l. 瀑布 模型 ”该 模型 将 基本 的 过 程 活动 、 描 述 、 开 发 、 有 效 性 验证 和 进化 ， 看 成 是 一 些 界 
限 分 明 的 独立 的 过 程 阶段 ， 例 如 ， 需 求 描述 阶段 、 软 件 设计 阶段 、 实 现 阶 段 、 测 试 阶段 ， 等 等 。 

2. 增 量 式 开发 ”该 方法 使 得 描述 活动 、 开 发 活动 和 有 效 性 验证 活动 交织 在 一 起 。 系 统 的 开 
发 是 建立 一 系列 的 版 本 〈 增 量 ) ， 每 个 版 本 添加 部 分 功能 到 先前 的 版 本 中 。 

3. 面向 复 用 的 软件 工程 ”该 方法 是 基于 已 存在 的 大 量 可 复 用 的 组 件 。 系 统 开 发 过 程 着 重 于 
集成 这 些 组 件 到 新 系统 中 ， 而 非 从 头 开发 。 

这 3 个 模型 相互 不 排斥 ， 而 且 经 常 一 起 使 用 ， 尤 其 是 对 大 型 系统 的 开发 。 对 于 大 型 系统 ， 综 
合 瀑布 和 增 量 开发 模型 的 优点 是 有 意义 的 。 你 必须 知道 系统 的 核心 需求 ， 设 计 系统 的 软件 体系 
结构 以 支持 这 些 需求 。 这 是 不 能 增 量 式 开发 的 。 在 更 大 系统 中 的 子 系统 可 以 使 用 不 同 的 开发 方 
法 。 对 于 那些 理解 的 很 好 的 系统 部 分 可 以 用 基于 瀑布 模型 的 过 程 来 描述 和 开发 ， 而 那些 很 难 提 
前 描述 清楚 的 部 分 ， 如 用 户 界面 ， 就 总 是 要 用 增 量 式 开发 方法 。 


2.1.1 瀑布 模型 


最 初 发 表 的 软件 开发 过 程 模 型 起 源 于 更 一 般 的 系统 工程 过 程 (Royce，1970) ， 该 模型 如 图 
2-1 所 示 。 因 为 瀑布 从 一 个 阶段 到 另 一 个 阶段 ， 这 个 模型 因此 以 “瀑布 模型 ”闻名 ， 也 可 以 看 成 
是 软件 的 生命 周期 模型 。 瀑 布 模型 是 计划 驱动 的 软件 过 程 的 一 个 例子 -一 理论 上 ， 在 开始 工作 
之 前 ， 你 必须 对 所 有 的 过 程 活动 制订 计划 并 给 出 进度 安排 。 

瀑布 模型 中 的 主要 阶段 直接 映射 基本 的 开发 活动 

1， 需 求 分 析 和 定义 ”通过 咨询 系统 用 户 建 立 系统 的 服务 、 约 束 和 目标 。 并 对 其 详细 定义 形 
成 系统 描述 。 

2 系统 和 软件 设计 系统 设计 过 程 通过 建立 系统 的 总 体 体系 结构 将 需求 区 分 为 硬件 需求 和 
软件 需求 。 软 件 设计 包括 识别 和 描述 一 些 基 本 的 软件 系统 抽象 及 其 之 间 的 关系 。 
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图 2-1 瀑布 模型 


3. 实现 和 单元 测试 ”在 此 阶段 ， 将 软件 设计 实现 为 一 组 程序 或 程序 单元 。 单 元 测试 就 是 检 
验 每 个 单元 是 否 符合 其 描述 。 

4. 集成 和 系统 测试 ”集成 单个 的 程序 单元 或 一 组 程序 ， 并 对 系统 整体 进行 测试 以 确保 其 满 
足 了 软件 的 需求 。 在 测试 之 后 ， 软 件 系统 将 交付 给 客户 使 用 。 

5. 运行 和 维护 ”正常 情况 下 (虽然 不 是 必须 的 ) ， 这 是 一 个 具有 最 长 生命 周期 的 阶段 。 系 统 
被 安装 并 且 投 入 实际 的 使 用 中 。 维 护 包括 改正 那些 在 早期 各 阶段 末 被 发 现 的 错误 ， 改 善 系统 各 
个 单元 的 实现 ， 并 当 新 的 需求 出 现时 提高 系统 的 服务 能 力 。 

原则 上 ， 每 个 阶段 的 结果 是 一 个 或 多 个 经 过 核准 的 文档 。 直 到 上 一 个 阶段 完成 ， 下 一 阶段 才 
能 启动 。 在 实际 过 程 中 ， 这 些 阶段 经 常 是 重合 和 彼此 间 有 信息 交换 的 。 在 设计 阶段 ， 可 能 发 现 需 
求 中 的 问题 ; 在 编程 阶段 ， 又 会 发 现 设 计 当 中 的 问题 ， 以 此 类 推 。 软 件 过 程 不 是 一 个 简单 的 线性 
模型 ， 它 包括 对 开发 活动 的 多 个 反复 。 每 一 阶段 产生 的 文档 在 后 续 的 阶段 都 可 能 被 修改 以 反映 
发 生 了 的 变化 。 

因为 生成 和 确认 文档 的 成 本 很 高 ， 因 而 反复 是 昂贵 的 而 且 十 分 费时 。 因 此 ， 在 经 过 少量 的 反 
复 之 后 ， 要 冻结 部 分 开发 过 程 ， 例 如 描述 部 分 ， 继 续 进 行 后 面 的 开发 阶段 。 剩 下 的 问题 留 着 以 后 
解决 ， 或 者 忽略 掉 、 或 者 在 编程 中 想 办 法 绕 过 去 。 这 种 对 需求 的 冻结 会 使 需求 相当 不 成 熟 ， 这 又 
意味 着 系统 不 能 满足 用 户 的 需要 。 当 设计 上 的 问题 通过 一 些 编程 的 小 技巧 来 解决 时 ， 系 统 的 良 
好 结构 又 会 遭 到 破坏 。 

在 最 后 的 生命 周期 阶段 (运行 和 维护 阶段 )， 软 件 进入 使 用 状态 。 最 初 的 软件 需求 中 的 错误 
和 省 略 部 分 这 时 暴露 无 遗 。 设 计 阶 段 和 编程 阶段 的 错误 此 时 也 都 浮现 出 来 ， 同 时 对 一 些 新 的 功 
能 的 需要 也 表现 出 来 了 。 因 此 ， 系 统 必 须 进化 以 保持 实用 。 实 现 这 些 变 更 (软件 维护 ) 可 能 需 
要 对 一 些 或 所 有 的 早先 过 程 阶段 进行 重复 。 












Qoo sere 


形式 化 开发 过 程 的 一 个 实例 是 净 室 ( Cleanroom) 过 程 ， 最 初 由 IBM 公司 提出 的 。 在 净 室 
过 程 中 每 一 个 软件 增 量 都 要 给 出 形式 化 描述 ， 然 后 此 描述 经 过 变换 得 以 实现 。 软 件 的 正确 性 
通过 形式 化 方法 得 以 证 明 。 在 此 开发 过 程 中 不 进行 单元 缺陷 测试 ， 而 系统 测试 的 重心 集中 在 
评估 系统 的 可 靠 性 上 。 

该 净化 过 程 的 目标 是 生产 零 缺 陷 软 件 ， 使 得 所 交付 的 系统 具有 高 度 的 可 靠 性 。 

http; //www. SoftwareEngineering-9. com/Web/ Cleanroom/ 
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瀑布 模型 是 与 其 他 工程 过 程 模型 相 一 致 的 ， 在 它 的 每 个 阶段 都 要 生成 文档 。 这 使 得 过 程 是 
可 见 的 , 项目 经 理 能 够 根据 项 日 计 划 监 控 项 目的 过 程 。 它 的 主要 问题 在 于 它 将 项 目 生 硬 地 分 解 
成 这 些 清 晰 的 阶段 。 关 于 需求 的 责任 和 义务 一 定 要 在 过 程 的 早期 阶段 清晰 界定 ， 而 这 又 意味 它 
对 用 户 需求 变更 的 响应 较 困 难 。 

所 以 只 有 在 对 需求 了 解 得 好 ， 而 且 在 系统 开发 过 程 中 不 太 可 能 发 生 重大 改变 的 时 候 ， 适合 
采用 瀑布 模型 。 毕 竟 ， 瀑 布 模型 反映 了 在 其 他 工程 项 目 中 使 用 的 一 类 过 程 的 模型 。 由 于 在 整个 项 
目 中 它 很 容易 结合 通用 的 管理 模式 进行 管理 ， 基 于 该 方法 的 软件 过 程 仍 然 广泛 应 用 于 软件 开发 。 

瀑布 模型 的 一 个 重要 变形 是 形式 化 系统 开发 。 针 对 系统 描述 创建 其 数学 模型 ， 然 后 采用 能 
保持 一 致 性 的 数学 变换 对 该 数学 模型 进行 加 工 ， 直 到 产生 可 执行 代码 。 基 于 对 所 构造 的 数学 变 
换 是 正确 的 假设 ， 你 就 可 以 有 力 地 证 明 用 这 种 方式 生成 的 代码 是 与 其 描述 相 一 致 的 。 

形式 化 的 开发 过 程 ， 如 基于 B 方法 (Schneider, 2001; Wordsworth, 1996) 特别 适用 于 有 严格 
安全 性 、 可 靠 性 或 信息 安全 性 需求 的 系统 的 开发 。 形 式 化 方法 简化 了 安全 用 例 和 信息 安全 用 例 
的 生产 。 它 向 客户 或 行业 管理 者 证 明 该 系统 实际 上 满足 了 其 安全 性 和 信息 安全 性 的 需求 。 

基于 形式 变换 的 过 程 通常 只 用 于 开发 安全 性 或 信息 安全 性 要 求 极 高 的 一 类 系统 。 这 需要 非 
常 专业 的 知识 和 技能 。 对 于 大 多 数 系统 ， 在 系统 开发 中 应 用 这 一 过 程 不 会 比 其 他 方法 带 来 明显 
的 成 本 优势 。 


2.1.2 增 量 式 开 发 


增 量 式 开 发 的 思想 是 先 开 发 出 一 个 初始 的 实现 ， 给 用 户 使 用 并 听取 用 户 的 使 用 意见 和 建议 ， 
通过 对 多 个 版 本 的 不 断 修改 直到 产生 一 个 充分 的 系统 〈 见 图 2.2) 。 描 述 、 开 发 和 有 效 性 验证 等 
活动 不 是 分 离 的 而 是 交织 在 一 起 。 同 时 让 这 些 活动 之 间 都 能 得 到 快速 的 反馈 信息 传递 。 


中 间 版 本 | 


并 行 活动 





图 2-2 增 量 式 开 发 


增 量 式 软 件 开发 ， 是 敏捷 方法 的 一 个 基本 部 分 ， 对 于 商务 、 电 子 商务 和 个 人 系统 来 说 更 加 适 
合 。 增 量 式 开发 反映 了 我 们 解决 问题 的 方法 。 我 们 很 少 提前 制定 出 完整 的 问题 解决 方案 ， 而 是 逐 
步 地 逼近 解决 方案 ， 当 我 们 意识 到 错误 的 时 候 进 行 回溯 。 通 过 增 量 式 地 开发 软件 ， 在 开发 过 程 中 
可 以 更 经 济 、 更 容易 对 软件 变更 做 出 响应 。 

系统 的 每 一 个 增 量 或 版 本 包括 用 户 需要 的 一 部 分 功能 。 通 常 ， 系 统 的 早期 增 量 包括 最 重要 
或 最 紧急 的 功能 需求 。 这 就 意味 着 在 早期 开发 阶段 ， 用 户 可 以 在 相对 早 地 评估 系统 ， 看 它 是 否 满 
足 需 要 。 假 如 不 满足 需要 ， 只 有 目前 的 增 量 需要 改变 ,或 许 ， 有 新 的 功能 被 发 现 并 为 下 个 增 量 做 
准备 。 

增 量 式 开发 较 之 瀑布 模型 有 3 个 重要 优点 : 

1. 降低 了 适应 用 户 需 求 变更 的 成 本 。 重 新 分 析 和 修改 文档 的 工作 量 较 之 瀑布 模型 要 少 很 多 。 
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2. 在 开发 过 程 中 更 容易 得 到 用 户 对 于 已 做 的 开发 工作 的 反馈 意见 。 用 户 可 以 评价 软件 的 现 
实 版 本 ， 并 可 以 看 到 已 经 实现 了 多 少 。 这 比 让 用 户 从 软件 设计 文档 中 判断 工程 进度 要 好 很 多 。 

3. 使 更 快 地 交付 和 部 署 有 用 的 软件 到 客户 方 变 成 了 可 能 ， 虽 然 不 是 所 有 的 功能 都 已 经 包含 
在 内 。 相 比 于 瀑布 模型 ， 用 户 可 以 更 早 地 使 用 软件 并 创造 商业 价值 。 
















© 音量 式 开发 的 问题 
尽管 增 量 式 开 发 有 很 多 优点 ， 但 它 也 不 是 没有 问题 。 它 的 困难 的 主要 原因 是 ， 大 型 机 构 
的 官僚 办 事 程序 随 着 时 间 的 推移 已 经 根深 蒂 国 ， 有 可 能 这 些 办事 程 序 与 更 加 非 形式 化 的 选 代 
和 敏捷 过 程 不 匹配 。 

有 了 时， 这 些 办 事 程 序 是 有 其 存在 的 充分 理由 的 ， 如 ， 可 能 有 些 程 序 是 为 了 确保 在 软件 开 
发 过 程 中 能 正确 执行 外 部 法 规 ( 如 美国 的 萨 班 斯 会 计 法 规 ) 。 不 可 能 改变 这 些 程序 ， 因 此 过 程 
冲突 是 不 可 避免 的 。 
http; //www. SoftwareEngineering-9. com/Web/IncrementalDev/ 


增 量 式 开发 在 形态 上 可 能 有 多 种 ， 它 现在 是 最 常用 的 应 用 系统 开发 方法 。 这 种 方法 即 可 以 
是 计划 驱动 的 也 可 以 是 敏捷 方法 的 ， 或 更 常用 的 做 法 是 对 这 些 方法 的 混合 运用 。 在 计划 驱动 的 
方法 中 ， 系 统 增 量 是 提前 定义 好 了 的 ; 如 果 采 用 敏捷 方法 ， 最 初 的 增 量 是 定义 好 了 的 ， 但 是 后 面 
的 增 量 的 开发 是 完全 取决 于 项 目的 进展 情况 以 及 客户 的 优先 选择 。 

从 管理 的 角度 来 看 ， 增 量 式 方法 存在 两 个 问题 : 

1 过程 不 可 见 。 管 理 者 需要 通过 经 常 性 的 可 交付 文档 来 把 握 进度 ， 如 果 系 统 开发 速度 太 快 ， 
要 产生 反映 系统 每 个 版 本 的 文档 就 很 不 划算 。 

2. 伴随 着 新 的 增 量 的 添加 ， 系 统 结构 在 逐渐 退化 。 除 非 投入 时 间 和 金钱 用 在 重 构 系 统 结构 
上 以 改善 软件 ， 否 则 定期 的 变更 会 损坏 系统 的 结构 。 随 着 时 间 的 推移 ， 越 往 后 变更 系统 越 困难 ， 
而 且 成 本 也 将 逐渐 上 升 。 

对 于 那些 大 型 的 、 生 命 周期 很 长 的 系统 ， 不 同 的 团队 负责 开发 系统 的 不 同 部 分 ， 进 化 式 开 发 
的 间 题 就 变 得 非常 突出 了 。 大 型 系统 需要 一 个 稳定 的 框架 或 体系 结构 ， 而 负责 开发 不 同 部 分 的 
团队 需要 根据 体系 结构 明确 指定 其 职责 。 这 需要 提前 制订 计划 ， 而 不 是 增 量 地 开发 。 

可 以 进化 式 地 开发 一 个 系统 ， 并 展示 给 客户 ， 征 求 客户 意见 ， 而 不 是 实际 地 交付 给 客户 并 在 
客户 的 环境 下 部 署 运行 它 。 增 量 式 的 交付 和 部 署 意味 着 软件 在 一 个 真实 的 运转 过 程 中 使 用 。 通 
常 这 是 不 太 可 能 的 ， 因 为 试验 一 个 新 软件 会 扰乱 正常 的 业务 过 程 。2. 3. 2 节 将 讨论 增 量 式 交付 的 
优点 和 缺点 。 


2.1.3 面向 复 用 的 软件 工程 


在 大 多 数 的 软件 项 目 中 ， 都 存在 一 定 程度 的 软件 复 用 。 当 人 们 注意 到 某 项 目 中 的 设计 或 代 
码 是 与 当前 项 目 中 所 需要 的 部 分 相像 的 时 候 ， 复 用 就 自然 地 发 生 了 。 人 们 搜寻 这 些 东 西 ， 而 后 根 
据 需 要 修改 它们 ， 再 将 其 纳入 自己 的 系统 中 来 。 

这 样 随意 性 的 复 用 并 没有 考虑 所 采用 的 开发 过 程 。 然 而 ,在 21 世纪 ， 注 重复 用 现存 软件 的 
开发 过 程 得 到 了 广泛 采用 。 面 向 复 用 的 方法 依赖 于 存在 大 量 可 复 用 的 软件 组 件 以 及 能 组 合 这 些 
组 件 的 集成 框架 。 有 时 ， 这 些 组 件 本 身 就 是 一 个 系统 (COTS 即 商业 现货 系统 ) ， 能 提供 专门 的 
功能 ， 例 如 字 处 理 或 制 表 软 件 。 

基于 复 用 开发 的 一 般 过 程 模型 如 图 2-3 所 示 。 尽 管 初始 需求 描述 阶段 和 有 效 性 验证 阶段 与 其 
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他 过 程 差 不 多 ， 面 向 复 用 过 程 的 中 间 阶 段 是 不 一 样 的。 这 些 阶段 是 : 

1 组 件 分 析 ”给 出 需求 描述 ， 然 后 搜寻 能 满足 需求 的 组 件 。 通 常情 况 是 ， 没 有 正好 合适 的 
组 件 以 供 选择 ， 能 得 到 的 组 件 往往 只 提供 所 需要 的 部 分 功能 。 

2. 需求 修改 ”在 这 个 阶段 ， 根 据 得 到 的 组 件 信 息 分 析 和 需求 ， 然 后 修改 需求 以 反映 可 得 到 的 
组 件 。 当 需求 修改 无 法 做 到 的 时 候 ， 就 需要 重新 进入 组 件 分 析 活 动 以 搜索 其 他 可 能 的 蔡 代 方案 。 

3. 使 用 复 用 的 系统 设计 在 这 个 阶段 ， 设 计 系 统 的 框架 或 者 重复 使 用 一 个 已 存在 的 框架 。 
设计 者 分 析 那 些 将 被 重复 使 用 的 组 件 ， 并 组 织 框架 使 之 适应 这 些 组 件 。 当 某 些 可 复 用 的 组 件 不 
能 得 到 时 ， 必 须 重新 设计 一 些 新 的 软件 。 

4. 开发 和 集成 ” 当 组 件 不 能 买 到 时 就 需要 自己 开发 ， 然 后 集成 这 些 自己 开发 的 组 件 和 现货 
组 件 ， 使 之 成 为 一 个 整体 。 在 这 个 模型 中 ， 系 统 集成 与 其 说 是 一 个 独立 的 活动 ， 不 如 说 已 经 成 为 


开发 过 程 的 一 个 部 分 。 
使 用 复 用 的 \\ 
系统 设计 / 
> 系统 有 效 性 


2-9 面向 复 用 的 软件 工程 


3 种 类 型 的 软件 组 件 可 能 用 于 面向 复 用 的 过 程 : 

1. 通过 标准 服务 开发 的 Web 服务 ， 可 用 于 远程 调用 。 

2. 对象 的 集合 ， 作 为 一 个 包 和 组 件 框架 ， 如 . NET 或 者 J2EE 等 集成 在 一 起 。 

3. 独立 的 软件 系统 ， 通 过 配置 在 特定 的 环境 下 使 用 。 

面向 复 用 的 模型 的 明显 优势 是 它 减少 了 需要 开发 的 软件 数量 ， 从 而 降低 了 软件 开发 成 本 ， 
同时 也 降低 了 开发 中 的 风险 。 通 常 也 可 使 软件 快速 地 交付 。 然 而 ， 需 求 妥协 是 不 可 避免 的 ， 而 且 
这 可 能 又 导致 一 个 不 符合 用 户 真 正 需要 的 系统 。 此 外 ， 对 系统 进化 的 控制 也 将 失效 ， 因 为 可 复 用 
的 组 件 新 版 本 可 能 是 不 受 机 构 控 制 的 。 

软件 复 用 是 非常 重要 的 ， 本 书 的 第 三 部 分 专门 讲解 软件 复 用 。 第 16 章 将 介绍 软件 复 用 的 
一 般 问 题 和 COTS 复 用 ,第 17 RMF 18 章 介绍 基于 组 件 的 软件 工程 ， 第 19 章 将 介绍 面向 服 
务 的 系统 。 


2.2 ”过程 活动 


真正 的 软件 过 程 是 交织 着 技术 、 协 作 、 管 理 等 内 容 的 一 个 活动 序列 ， 围 绕 着 一 个 总 的 目标 ， 
即 实现 系统 的 描述 、 设 计 、 实 现 和 测试 。 软 件 开发 人 员 在 工作 中 使 用 各 种 不 同类 型 的 软件 工具 。 
工具 对 不 同类 型 的 文档 编辑 以 及 管理 大 型 项 目 中 所 产生 的 庞大 数量 的 详细 信息 是 特别 有 用 的 。 

对 于 不 同 的 开发 过 程 ， 描述、 开发 、 验 证 和 进化 这 4 个 基本 过 程 活动 的 组 织 是 不 同 的 。 在 瀑 
布 模型 中 ， 它 们 是 顺序 组 织 的 ， 而 在 增 基 式 开发 中 它们 是 交织 在 一 起 的 。 这 些 活动 如 何 执行 ， 是 
依赖 于 软件 类 型 、 人 员 以 及 机 构 的 组 织 结构 的 。 例 如 ， 在 极限 编程 中 ， 描 述 是 写 在 卡片 上 的 。 测 
试 是 可 执行 的 且 在 程序 本 身 存 在 之 前 就 已 经 完成 了 。 进 化 可 能 包括 对 系统 的 重组 和 重 构 。 


2.2.1 软件 描述 
软件 描述 或 需求 工程 是 理解 和 定义 系统 需要 提供 哪些 服务 ， 以 及 找 出 开发 和 运行 中 受到 哪 
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些 约束 。 需 求 工程 是 软件 过 程 中 一 个 特别 关键 的 阶段 ， 这 个 阶段 的 错误 将 不 可 避免 地 带 来 系统 
设计 和 实现 阶段 的 后 续 问 题 。 

需求 工程 过 程 ( 见 图 2-4) 目标 是 生产 一 个 达成 一 致意 见 的 需求 文档 ， 定 义 能 满足 信息 持 有 
者 需求 的 系统 。 通 常 需求 在 这 个 文档 中 被 分 成 两 个 层次 表述 。 最 终 用 户 和 客户 需要 高 层 的 需求 
描述 ; 而 系统 开发 人 员 需 要 比较 详细 的 系统 描述 。 


Q 软件 开发 工具 


软件 开发 工具 《有 时 也 叫 计算 机 辅助 软件 工程 或 CASE 工具 ) 是 用 来 支持 软件 工程 过 程 
活动 的 程序 ， 这 些 工具 包括 如 : 设计 编辑 器 、 数 据 字典 、 编 译 器 、 调 试 器 、 系 统 生成 工具 等 。 

软件 工具 通过 自动 化 某 些 过 程 活动 和 提供 正 被 开发 的 软件 的 信息 来 支持 软件 过 程 。 可 以 
自动 化 的 活动 的 例子 包括 : 

四 作为 需求 描述 和 软件 设计 中 的 一 部 分 的 图 形 系统 模型 的 开发 。 

加 从 这 些 图 形 模型 生成 代码 。 

里 通过 由 用 户 交 互 创建 的 图 形 界面 描述 来 产生 用 户 界面 。 

m 通 过 提供 执行 的 程序 的 信息 进行 程序 调试 。 

m 程序 的 自动 转换 ， 将 使 用 旧 语 言 版 本 的 程序 转换 成 一 个 新 版 本 语言 的 程序 。 

多 种 工具 可 能 被 整合 在 一 个 被 称 为 交互 式 软件 环境 的 框架 中 ， 也 成 为 IDE。 这 就 为 不 同 的 
工具 提供 了 一 个 共同 的 可 用 的 设施 集合 ,使 之 更 容易 在 集成 的 方式 下 通信 和 运行 。 人 们 广泛 
使 用 ICLIPSE IDE， 它 嵌入 了 很 多 不 同类 型 的 软件 工具 。 
http: //www. SoftwareEngineering-9. com/Web/CASE/ 
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图 2-4 需求 工程 过 程 


需求 工程 过 程 有 4 个 主要 的 阶段 : 

1 可 行 性 研究 ”指明 现 有 的 软件 、 硬 件 技术 能 否 实现 用 户 对 新 系统 的 要 求 。 从 业务 角度 来 
决定 系统 开发 是 否 划 算 以 及 在 预算 范围 内 能 否 开发 出 来 。 可 行 性 研究 应 该 是 相对 来 讲 花 钱 少 且 
快速 完成 的 。 结 果 应 该 得 出 结论 ， 该 系统 是 否 值得 进行 更 细致 的 分 析 。 

2. 需求 导出 和 分 析 这 是 一 个 通过 对 现 有 系统 分 析 、 与 潜在 用 户 和 购买 者 讨论 、 进 行 任务 
分 析 等 导出 系统 需求 的 过 程 。 也 可 能 需要 开发 一 个 或 多 个 不 同 的 系统 模型 和 原型 。 这 些 都 会 帮 
助 分 析 员 了 解 所 要 描述 的 系统 。 

3. 需求 描述 ”就 是 把 在 分 析 活 动 中 收集 的 信息 以 文档 的 形式 确定 下 来 。 在 这 个 文档 中 有 两 
类 需求 。 用 户 需 求 是 从 客户 和 最 终 用 户 角度 对 系统 需求 的 抽象 描述 ;系统 需求 是 对 系统 要 提供 
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的 功能 的 详尽 描述 。 

4. 需求 有 效 性 验证 ”该 活动 检查 需求 的 现实 性 、 一 致 性 和 完备 性 。 在 这 个 过 程 中 ， 肯 定 会 
发 现 需 求 文档 中 的 错误 ， 必须 加 以 改正 以 解决 问题 。 

当然 ， 需 求 过 程 中 的 各 项 活动 并 不 是 严格 按 顺 序 进行 的 。 在 定义 和 描述 期 间 ， 需 求 分 析 继 续 
进行 ， 这 样 在 整个 需求 工程 过 程 中 不 断 有 新 的 需求 出 现 。 因 此 ， 分析、 定义 和 描述 是 交替 进行 
的 。 在 敏捷 方法 中 ， 如 极限 编程 ， 需 求 是 按照 用 户 的 优先 选择 增 量 式 开发 的 ， 需 求 的 导出 来 自 于 
作为 开发 团队 一 份子 的 用 户 。 


2.2.2 软件 设计 和 实现 


软件 开发 的 实现 阶段 是 把 系统 描述 转换 成 一 个 可 运行 的 系统 的 过 程 。 它 总 是 包含 设计 和 编 
E, 但是， 如 果 用 增 量 式 开发 方法 ， 可 能 还 包含 对 软件 描述 的 精炼 过 程 。 

软件 设计 是 对 实现 软件 的 结构 、 系 统 的 数据 、 系 统 组 件 间 的 接口 以 及 所 用 的 算法 的 描述 。 设 
计 者 不 可 能 一 次 就 能 完成 一 个 完整 的 设计 ， 这 是 一 个 多 次 反复 的 过 程 。 在 设计 过 程 中 要 不 断 添 
加 设计 要 素 和 设计 细节 ， 并 对 先前 的 设计 方案 进行 修正 。 

图 2-5 是 这 个 过 程 的 抽象 模型 ， 显 示 了 设计 过 程 的 输入 、 过 程 活动 和 作为 这 部 分 输出 的 文 
档 。 从 图 2-5 中 可 以 看 出 设计 过 程 中 的 各 个 阶段 是 顺序 的 。 事 实 上 ,设计 过 程 中 的 活动 是 交替 
进行 的 。 从 一 个 阶段 到 另 一 个 阶段 的 反馈 及 其 引发 的 返工 在 所 有 的 设计 过 程 中 都 是 不 可 各 
免 的 。 


设计 输入 





图 2-5 设计 过 程 的 通用 模型 


绝 大 多 数 软件 有 面向 其 他 软件 系统 的 接口 。 包 括 操作 系统 、 数 据 库 、 中 间 件 和 其 他 应 用 系 
统 。 这 些 软件 系统 构成 了 “软件 平台 ”， 也 即 软件 执行 的 环境 。 关 于 此 平台 的 信息 是 设计 过 程 的 
基本 输入 ， 因 为 设计 者 必须 考虑 怎样 才能 使 它 与 软件 环境 集成 得 最 好 。 需 求 描述 是 软件 必须 实 
现 的 功能 、 性 能 和 可 靠 性 需求 的 说 明 。 如 果 是 一 个 处 理 现 有 数据 的 系统 ， 那 么 数据 描述 就 可 能 包 
括 在 平台 描述 里 ; 否则 ， 数 据 描述 就 必须 是 设计 过 程 的 输入 ， 以 定义 系统 数据 结构 。 

设计 过 程 中 的 活动 是 会 有 所 不 同 的 ， 这 取决 于 要 开发 系统 的 类 型 。 例 如 ， 实 时 系统 需要 进行 
时 序 设计 ,但 可 能 不 包括 数据 库 ， 因 此 就 没有 数据 库 设 计 。 图 2-5 显示 了 信息 系统 设计 过 程 中 4 
个 活动 ; 

L 体系 结构 设计 识别 系统 总 体 结构 、 基 本 组 件 ( 有 时 候 也 叫 子 系统 或 模块 ) 、 它 们 之 间 的 
关系 以 及 它们 是 怎样 分 布 的 。 
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2. 接口 设计 定义 系统 组 件 间 的 接口 。 接 口 的 描述 必须 是 无 二 义 的 。 在 有 精确 接口 定义 的 
前 提 下 ， 组 件 不 必 知 道 其 他 组 件 的 具体 实现 即 可 使 用 它们 。 一 旦 接口 描述 达成 一 致意 见 ， 组 件 就 
可 以 并 行 设计 和 开发 了 。 

3. 组件 设计 针对 每 个 系统 组 件 设计 它 的 运行 方式 。 这 可 能 是 对 预期 功能 的 一 个 简单 声明 ， 
留 给 程序 员 去 做 具体 的 设计 。 也 可 能 是 对 复 用 组 件 或 是 某 个 细 化 的 设计 模型 所 做 的 一 系列 的 变 
更 。 设 计 模 型 可 用 于 自动 生成 一 个 实现 。 

4. 数据 库 设计 设计 系统 数据 结构 ， 以 及 如 何在 数据 库 中 表示 这 些 数据 结构 。 此 处 的 工作 
又 一 次 取决 于 是 否 复 用 现 有 数据 库 或 创建 一 个 新 的 数据 库 。 


Q snert 


结构 化 方法 是 软件 设计 的 一 种 方法 ， 定 义 待 开发 的 图 形 模 型 作为 设计 过 程 的 一 部 分 。 这 
个 方法 可 能 也 会 定义 适用 于 每 一 个 模型 开发 的 过 程 以 及 规则 。 结 构 化 方法 为 系统 产生 标准 化 
的 文档 ， 尤 其 是 为 缺乏 经 验 的 和 非 专业 的 开发 者 提供 了 一 个 开发 框架 。 

http; //www. SoftwareEngineering-9. com/Web/Structured-methods/ 











这 些 活 动产 生 一 组 设计 输出 ， 这 也 在 图 2-5 中 给 出 。 这 些 输出 的 细节 和 表示 有 很 大 不 同 。 对 
于 要 求 极 高 的 系统 ， 必 须要 有 详细 的 设计 文档 给 出 简洁 和 准确 的 描述 。 假 如 用 模型 驱动 方法 ， 这 
些 输出 可 能 大 多 是 图 形 。 而 用 敏捷 开发 方法 ， 设 计 过 程 的 输出 可 能 不 会 有 单独 的 描述 文档 ， 而 是 
在 程序 代码 中 直接 表示 。 

设计 中 的 结构 化 方法 出 现在 20 世纪 70 年 代 和 80 年 代 ， 是 UML 和 面向 对 象 设计 ( Budgen, 
2003) 的 先导 。 它 们 依赖 于 创建 系统 的 图 形 模型 ， 在 很 多 情况 下 ， 从 这 些 模 型 能 自动 生成 代码 。 
模型 驱动 的 开发 (MDD) 或 模型 驱动 的 工程 (Schmidt，2006) ， 即 在 不 同 的 抽象 水 平 上 创建 软 
件 的 模型 ， 这 是 结构 化 方法 的 一 个 进化 。 在 MDD 中 ,更 强调 体系 结构 模型 一 -将 实现 独立 的 模 
型 和 具体 实现 的 模型 相 分 离 。 模 型 设计 得 充分 详细 ， 因 此 可 以 由 此 生成 可 执行 系统 。 第 5 章 将 介 
绍 该 方法 。 

在 系统 设计 过 程 之 后 就 是 实现 系统 的 程序 开发 过 程 。 尽 管 有 些 程序 ， 如 安全 性 能 要 求 极 高 
的 系统 的 程序 ， 在 系统 任何 实现 进行 之 前 就 要 完成 所 有 的 详细 设计 ， 而 更 一 般 情 况 是 ， 后 续 的 设 
计 阶 段 和 程序 开发 是 交织 在 一 起 的 。 通 过 软件 开发 工具 可 以 从 一 个 设计 直接 得 到 一 个 程序 的 框 
架 ， 其 中 包括 定义 和 实现 界面 的 代码 ， 且 在 多 数 情况 下 ， 开 发 者 只 需要 增加 每 个 程序 组 件 的 工作 
细节 即 可 。 

程序 设计 因 人 而 异 ， 通 常 没有 统一 的 模式 。 一 些 程序 设计 者 从 已 经 理解 得 很 好 的 组 件 开 始 
做 起 ， 然 后 再 做 不 太 熟 悉 的 组 件 。 其 他 人 可 能 会 采取 相反 的 方法 ， 把 熟悉 的 组 件 留 到 最 后 ， 因 为 
他 们 已 经 知道 该 如 何 开发 这 些 组 件 。 一 些 开发 者 喜欢 先 定 义 过 程 中 要 用 到 的 数据 ， 然 后 使 用 这 
些 数据 来 驱动 程序 的 开发 ;而 另外 一 些 人 则 是 对 数据 现 用 现 定义 。 

通常 ， 程 序 设计 者 要 对 自己 开发 的 程序 进行 测试 。 这 时 程序 中 的 一 些 明 显 的 错误 就 会 暴露 
出 来 并 得 到 根除 ， 该 过 程 叫做 调试 。 错 误 检 测 和 程序 调试 不 是 一 回 事 ， 检 测 是 要 发 现存 在 的 错 
误 ， 而 调试 是 要 定位 并 改正 这 些 错误 。 

程序 员 进 行程 序 调 试 首 先 要 对 程序 的 行为 有 一 个 最 初 的 预计 ， 然 后 执行 程序 看 输出 结果 是 
否 同 项 期 的 一 样 。 调 试 过 程 需要 程序 员 一 步 步 地 手动 跟踪 代码 ， 同 时 会 需要 一 些 测试 用 例 来 定 
位 问题 。 一 些 交 互 式 调试 工具 ， 能 够 显示 程序 中 变量 的 中 间 结 果 ， 也 能 跟踪 程序 的 执行 语句 ， 可 
以 用 来 支持 程序 的 调试 过 程 。 
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2.2.3 软件 有 效 性 验证 


软件 有 效 性 验证 ， 通 常 也 称 为 检验 和 有 效 性 验证 (V&V)， 是 要 看 系统 是 否 符合 它 的 描述 以 
及 系统 是 否 符合 客户 的 预期 。 程 序 测试 ， 即 用 模拟 测试 数据 运行 系统 ， 是 最 基本 的 有 效 性 验证 技 
术 。 有 效 性 验证 技术 也 包括 在 从 用 户 需 求 定义 到 程序 开发 的 每 个 软件 过 程 阶段 进行 检查 过 程 
(比如 ,查阅 和 复审 ) 。 由 于 测试 的 主导 地 位 ， 绝 大 多 数 的 有 效 性 验证 成 本 发 生 在 系统 完成 过 程 
中 和 完成 之 后 。 

除了 很 小 的 程序 ， 系 统 都 不 是 作为 一 个 孤立 的 单元 来 测试 的 。 图 2-6 给 出 了 一 个 分 成 3 个 阶 
段 的 测试 过 程 ， 先 是 系统 组 件 测试 ， 其 次 是 系统 集成 测试 ， 最 后 是 用 客户 数据 对 系统 的 测试 。 理 
想 情况 是 ， 在 系统 集成 前 ， 组 件 缺 陷 和 接口 问题 能 尽早 地 发 现 。 然 而 ， 一 旦 缺陷 被 发 现 ， 程 序 就 
需要 进行 调试 ， 而 这 又 会 引起 一 系列 测试 阶段 的 反复 。 有 的 组 件 错误 只 有 当 集 成 时 才 暴 露出 来 ， 
因此 ， 这 个 过 程 是 一 个 反复 的 过 程 ， 不 断 会 有 信息 从 后 继 的 阶段 反馈 到 前 面 的 阶段 。 
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图 2-6 测试 各 阶段 





测试 过 程 中 的 阶段 包括 : 

1. 组 件 (或 单元 ) 测试 ”由 开发 系统 的 人 员 对 组 成 系统 的 组 件 进行 测试 。 每 个 组 件 都 单独 
测试 ， 而 不 受 其 他 系统 组 件 的 影响 。 组 件 可 能 是 简单 的 实体 ， 如 一 个 函数 或 对 象 类 、 或 者 是 这 些 
实体 的 一 个 相关 集合 。 通 常用 自动 化 测试 工具 ， 如 JUnit (Massol 和 Husted, 2003) ， 它 能 在 新 版 
本 的 组 件 创建 的 时 候 对 其 重新 测试 。 

2. 系统 测试 ”集成 组 件 形成 完整 的 系统 。 这 个 过 程 主要 是 关注 无 法 预测 的 组 件 间 交互 和 组 
件 界面 问题 所 引发 的 错误 。 也 关注 系统 是 否 满足 了 功能 上 和 非 功能 上 的 需求 ， 并 测试 系统 的 总 
体 特性 。 对 于 大 型 系统 来 说 ， 这 可 能 是 一 个 多 阶段 的 过 程 ， 需 要 对 组 件 所 构成 的 子 系统 进行 测 
试 ， 然 后 测试 由 这 些 子 系统 所 构成 的 最 终 系统 。 

3， 接收 测试 这 是 系统 在 接受 并 运行 之 前 进行 的 最 后 阶段 测试 。 这 个 阶段 不 再 是 用 模拟 数 
据 来 测试 系统 ， 而 是 用 客户 提供 的 真实 数据 测试 系统 。 真 实数 据 能 以 不 同 的 方式 测试 系统 ， 所 以 
能 暴露 出 系统 需求 定义 中 的 错误 和 遗漏 。 接 收 测试 还 能 发 现 系 统 需求 中 的 类 问题 ， 即 系统 的 设 
施 不 能 满足 用 户 的 需要 或 者 系统 性 能 是 无 法 接受 的 。 

通常 ， 组 件 开 发 和 测试 是 交叉 进行 的 。 程 序 员 自己 构造 用 来 测试 的 数据 ， 在 代码 开发 过 程 中 
增 量 地 进行 测试 。 这 是 一 个 经 济 的 测试 方法 ， 程 序 设计 者 最 了 解 组 件 ， 因 此 是 产生 测试 数据 的 最 
佳人 选 。 

如 果 采 用 的 是 增 量 式 开发 方法 ， 每 一 个 增 量 在 开发 的 时 候 就 要 得 到 测试 ， 这 种 测试 根据 对 
增 量 的 需求 来 设计 。 对 于 极限 编程 ， 测 二 和 需求 都 先 于 开发 过 程 。 这 帮助 测试 者 和 开发 者 理解 需 
求 并 保证 不 会 由 于 设计 测试 案例 而 拖延 时 间 。 

当 采 用 计划 驱动 的 软件 过 程 〈 如 开发 安全 要 求 性 极 高 的 系统 ) ， 测 试 是 测试 计划 集 驱 动 的 。 
一 个 独立 的 测试 团队 需要 有 一 个 拟定 的 测试 计划 并 按照 这 个 测试 计划 来 工作 ， 制 订 测 试 计划 的 
依据 是 系统 描述 和 设计 。 图 2-7 说 明 测试 计划 是 如 何 把 测试 和 开发 活动 联系 起 来 的 。 有 时 候 这 也 
叫 V 开发 模型 。 

接收 测试 有 时 称 为 “alpha 测试 ” 。 定 制 系统 是 为 特定 客户 开发 的 。 测 试 过程 持 续 进 行 ， 指 
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导 开 发 者 和 客户 双方 都 承认 交付 的 系统 是 对 需求 的 可 接受 的 实现 。 

当 一 个 系统 要 作为 软件 产品 在 市 场 上 销售 时 ， 所 要 进行 的 测试 称 为 “beta 测试 "beta W 
试 ” 就 是 将 系统 交付 给 所 有 愿意 使 用 该 系统 的 潜在 客户 。 他 们 有 义务 报告 系统 中 的 问题 ， 以 使 
产品 面向 实际 使 用 , “beta 测试 ”能 暴露 系统 开发 者 无 法 预见 的 错误 。 通 过 这 个 反馈 ， 系 统 被 修 
改 并 且 发 布 另外 一 个 测试 版 本 或 正式 销售 版 本 。 


系统 设计 aio 


= 模块 、 单 元 
测试 计划 代码 和 测试 


系统 集成 测试 / (Ff 系统 入 成 出 试 ) 


图 2-7 计划 驱动 软件 过 程 中 的 测试 阶段 





2.2.4 软件 进化 


软件 系统 的 条 性 〈 灵 活性 ) 是 在 大 型 复杂 系统 中 具有 越 来 越 多 的 软件 的 主要 理由 之 一 。 一 
且 硬 件 生产 的 决定 已 经 做 出 ， 再 对 硬件 设计 做 出 变更 将 是 非常 不 经 济 的。 然而 ， 作 为 软件 ， 变 更 
可 以 发 生 在 系统 开发 之 中 或 之 后 的 任何 时 间 里 。 这 些 变更 也 可 能 非常 昂贵 ， 但 对 比 系统 硬件 的 
变更 仍然 便宜 得 多 。 

自 有 软件 开发 以 来 ， 就 有 软件 开发 过 程 和 软件 进化 〈 软 件 维护 ) 过 程 之 分 。 软 件 开发 是 一 
个 有 创造 性 的 活动 ， 从 一 个 初始 的 概念 发 展 成 一 个 可 实际 工作 的 系统 的 整个 过 程 一 直 充 满 了 智 
慧 和 灵感 。 相 反 ， 人 们 通常 认为 软件 维护 是 单调 无 趣 的 。 虽 然 “ 维 护 ” 的 成 本 经 常 是 最 初 开发 
成 本 的 数 倍 ， 但 是 维护 过 程 通常 不 被 认为 有 什么 挑战 性 。 

现在 看 来 ， 这 种 划分 越 来 越 不 恰当 了 。 现 在 完全 从 头 开发 的 系统 很 少 ， 将 软件 系统 的 开发 和 
维护 看 成 是 一 个 连续 体 显得 更 有 意义 。 因 此 ， 不 再 将 软件 工程 看 成 是 开发 和 维护 两 个 完全 独立 
的 过 程 ， 而 是 将 其 看 成 是 一 个 进化 过 程 ， 即 软件 在 其 生命 周期 内 不 断 地 随 着 需求 的 变更 而 变更 
的 进化 式 过 程 。 这 个 进化 式 过 程 如 图 2-8 所 示 。 





图 2-8 系统 进化 


2.3 应 对 变更 


对 于 所 有 大 型 项 目 来 说 ， 变 更 是 无 法 避免 的 。 系 统 需 求 是 在 变化 的 ， 因 为 采购 系统 的 工作 要 
册 从 于 外 部 压力 和 管理 权力 的 更 将 。 当 有 新 技术 可 用 的 时 候 ， 新 的 设计 和 实现 方法 就 会 出 现 。 因 
此 不 管用 什么 样 的 软件 过 程 模 型 ， 能 在 软件 开发 过 程 中 及 时 处 理 变更 是 很 必要 的 。 

变更 增加 了 软件 开发 的 成 本 ， 因 为 这 通常 意味 着 已 完成 的 工作 要 重 做 。 这 叫做 返工 。 例 如 ， 
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假如 已 经 分 析 了 系统 需求 之 间 的 关系 ， 之 后 又 定义 了 新 的 需求 ， 那 么 部 分 或 者 全 部 需求 分 析 就 
必须 重 做 。 也 可 能 要 重新 设计 系统 ， 交 付 新 的 需求 ， 变 更 所 有 已 开发 的 程序 ， 并 重新 设计 系统 。 

有 两 个 相关 的 方法 会 用 于 降低 返工 成 本 : 

l. 变更 避免 ”软件 过 程 包括 一 些 能 够 在 重大 返工 发 生 之 前 预测 变更 的 活动 。 例 如 ， 原 型 系 
统 的 开发 ， 要 先 给 客户 看 系统 的 一 些 重要 特征 。 客 户 可 以 试用 原型 ， 并 在 花费 高 额 的 软件 生产 成 
本 之 前 重新 定义 需求 。 

2. 变更 容忍 ”所 设计 的 过 程 使 得 变更 以 相对 较 低 的 成 本 得 到 处 理 。 这 通常 需要 增 量 开发 。 
提出 的 变更 可 能 是 在 还 没有 开发 的 增 量 上 实现 。 假 如 不 是 这 样 的 ， 只 需要 更 改 单个 增 量 (系统 
的 一 小 部 分 ) 来 适应 变更 。 

这 一 节 将 介绍 两 种 应 对 变更 系统 需求 的 方法 。 它 们 是 : 

1 系统 原型 ”快速 开发 一 个 系统 版 本 或 者 是 系统 的 一 个 部 分 ， 以 检验 客户 需求 和 某 些 设计 
决定 的 可 行 性 。 它 支持 变更 避免 ， 因 为 它 允许 客户 试用 在 正式 交付 之 前 的 系统 ， 并 重新 审视 和 定 
义 需 求 。 因 而 在 交付 正式 系统 之 后 ， 客 户 提 出 的 需求 变更 的 数目 将 会 降低 。 

2. 增 量 交付 ”系统 增 量 地 交付 给 用 户 ， 给 用 户 评 审 和 试用 。 它 支持 变更 避免 和 变更 容忍 。 
避免 了 交付 不 成 熟 的 需求 实现 ， 并 允许 在 之 后 的 增 量 中 进行 改变 且 将 成 本 控制 在 较 低 水 平 。 

重 构 的 概念 ， 即 改进 程序 的 结构 和 组 织 ， 也 是 变更 容忍 的 一 个 重要 方法 。 将 在 第 3 章 介绍 重 
构 ， 放 在 敏捷 方法 内 容 之 中 。 


2.3.1 原型 构造 


原型 是 一 个 软件 系统 的 最 初版 本 ， 用 于 验证 概念 、 试 用 设计 选项 、 发 现 更 多 的 问题 和 可 能 的 
解决 方法 。 原 型 的 快速 选 代 开发 是 必要 的 ， 这 样 就 可 以 控制 成 本 ， 系 统 信息 持 有 者 也 可 以 在 软件 
过 程 的 早期 试用 系统 原型 。 

软件 原型 可 以 用 在 软件 开发 过 程 中 ， 帮 助 预计 可 能 需要 的 变更 ， 

l. 在 需求 工程 过 程 中 ， 原 型 有 助 于 启发 和 验证 系统 需求 。 

2. 在 系统 设计 过 程 中 ， 原 型 可 用 于 探索 特定 软件 的 解决 方案 ， 并 支持 用 户 接口 设计 。 

系统 原型 允许 用 户 思考 系统 怎样 才能 很 好 地 帮助 他 们 工作 。 他 们 可 能 对 需求 有 新 的 想法 、 
发 现 软件 的 长 处 和 短处 。 然 后 他 们 可 能 提出 新 的 需求 。 此 外 ， 当 开发 原型 时 ， 可 能 会 发 现 已 提出 
需求 的 错误 和 遗漏 。 需 求 描述 中 的 功能 看 起 来 是 可 用 的 、 定 义 是 对 的 。 但 是 ， 当 结合 了 其 他 的 功 
能 ， 用 户 通常 会 发 现 他 们 最 初 的 想法 是 不 对 的 、 不 完整 的 。 然 后 ， 受 来 自 他 们 的 需求 理解 的 恋 
化 ， 可 能 需要 修改 系统 描述 。 

系统 设计 时 用 系统 原型 ， 旨 在 验证 所 提出 的 设计 的 可 行 性 。 例 如 ， 一 个 数据 库 原型 设计 和 测 
试 ， 可 检查 它 是 否 高 效 地 支持 了 最 常见 的 用 户 查询 。 原 型 也 是 用 户 接口 设计 过 程 必 不 可 少 的 一 
部 分 。 因 为 用 户 界面 的 动态 性 ， 文 字 描述 和 图 都 足以 表达 用 户 的 界面 需求 。 所 以 ， 让 最 终 用 户 介 
人 的 快速 原型 构造 是 开发 软件 系统 的 图 形 用 户 界 面 的 唯一 明智 方法 。 

原型 开发 的 过 程 模型 如 图 2-9 所 示 。 从 开发 过 程 的 开始 就 应 明确 地 建立 开发 原型 的 目标 。 这 
些 可 能 是 用 户 界面 的 原型 、 验 证 系统 功能 需求 ， 或 对 管理 者 证 明 应 用 的 可 行 性 。 同 一 个 原型 不 能 
满足 所 有 的 目标 。 假 如 有 遗漏 的 目标 没有 言明 ， 则 管理 者 或 最 终 用 户 可 能 会 误解 原型 的 功能 。 因 
而 原型 的 开发 可 能 没有 发 挥 预期 的 效果 。 

过 程 的 下 一 阶段 就 是 决定 什么 要 放 人 原型 系统 中 ， 或 许 更 重要 的 是 ， 什 么 不 要 放 人 原型 系 
统 中 。 为 了 减少 原型 开发 的 成 本 并 缩短 交付 时 间 ， 可 能 要 在 原型 中 放弃 一 些 功能 。 可 能 会 放松 类 
似 于 响应 时 间 ， 内 存 利用 率 等 非 功能 的 需求 。 错 误 处 理 和 错误 管理 可 能 被 忽略 ， 除 非 原型 的 目标 
是 构建 用 户 界面 。 程 序 的 可 依赖 性 和 质量 方面 的 标准 可 能 会 降低 。 
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评估 原型 】 
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ca 
图 2-9 原型 开发 的 过 程 


最 后 一 个 阶段 是 原型 评估 。 这 个 阶段 必须 安排 用 户 培训 ， 应 根据 原型 的 目标 制订 一 个 评 佑 
计划 。 用 户 需要 一 段 时 间 来 适应 新 系统 并 习惯 于 正常 的 使 用 模式 。 一 旦 他 们 自然 地 使 用 了 系统 ， 
他 们 将 发 现 错误 的 和 被 遗漏 的 需求 。 

原型 开发 的 一 般 问 题 是 ， 原 型 不 一 定 必 须 与 最 终 系统 有 一 样 的 使 用 方式 。 原 型 的 测试 者 可 
能 不 是 系统 的 典型 用 户 。 原 型 评估 期 间 的 训练 时 间 可 能 不 够 。 如 果 原 型 是 缓慢 的 ， 评 估 人 员 可 以 
调整 工作 方式 ， 避 人 免 这 些 反应 时 间 过 慢 的 系统 特征 。 当 最 终 系统 有 更 好 的 响应 时 ， 用 户 可 以 用 不 
同 的 方式 使 用 它 。 

有 时 ， 管 理 者 可 能 会 强迫 开发 人 员 把 一 个 抛弃 式 原型 当做 正式 系统 交付 给 用 户 ， 特 别 是 当 
软件 的 最 终 版 本 交付 发 生 延 期 时 。 这 种 做 法 通常 是 很 不 明智 的 : 

1. 不 可 能 调整 原型 以 满足 非 功能 性 的 要 求 ， 如 性 能 、 安 全 性 、 和 鲁 棒 性 和 可 靠 性 需求 。 这 些 
都 会 在 原型 开发 时 被 忽略 。 

2. 开发 过 程 中 的 快速 更 改 必然 意味 着 原型 是 没有 文档 的 。 唯 一 的 设计 描述 就 是 原型 的 代码 。 
这 不 利于 长 期 的 维护 。 

3. 原型 开发 过 程 中 的 变更 可 能 会 破坏 系统 的 结构 。 系 统 的 维护 将 会 很 困难 ， 而 且 很 昂贵 。 

4. 在 原型 开发 中 机 构 的 质量 标准 通常 是 被 放松 了 的 。 

不 强求 原型 是 可 执行 的 。 基 于 纸 质 模型 系统 的 用 户 界面 (Rettig，1994) 可 以 有 效 地 帮助 用 
户 细 化 界面 设计 ， 并 通过 使 用 脚本 (也 称 “ 使 用 场景 ") 工作 。 它 的 开发 很 便宜 ， 而 且 可 以 在 得 
时 间 内 构造 完成 。 对 该 技术 的 扩展 就 是 Oz 原型 精灵 ， 这 里 只 开发 用 户 界面 。 用 户 和 这 个 界面 交 
互 ， 但 他 们 的 请 求 被 传递 给 一 个 人 ， 该 人 员 解 释 此 请 求 并 输出 相应 的 响应 。 


2.3.2 增 量 式 交 付 


增 量 式 开 发 〈 如 图 2-10 所 示 ) 是 软件 开发 的 一 种 方法 ， 所 开发 的 某 些 增 量 逐步 交付 给 用 
户 ， 并 在 用 户 的 操作 环境 下 运行 。 在 增 量 式 开发 过 程 中 ， 客 户 大 概 地 提出 系统 需要 提供 的 服 
务 ， 指 明 哪 些 服务 是 最 重要 的 ， 哪 些 是 最 不 重要 的 。 此 时 ， 一 系列 交付 增 量 被 确定 ， 每 个 增 
量 提供 系统 功能 的 一 个 子 集 。 对 增 量 中 服务 的 分 配 取决 于 服务 优先 次 序 。 具 有 最 高 优先 权 的 
服务 首先 被 交付 。 





图 2-10 ” 增 量 式 交 付 
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一 旦 确定 了 系统 增 量 ， 在 最 先 交 付 的 增 量 中 将 详细 地 定义 服务 的 需求 ， 而 这 个 增 量 将 用 最 
合适 的 开发 过 程 来 开发 。 在 开发 时 ， 为 稍 后 的 增 量 准备 的 需求 分 析 不 断 进 行 ， 但 对 目前 增 量 需求 
的 变更 不 会 被 接受 。 

一 旦 一 个 增 量 已 完成 并 且 被 交付 ， 客 户 就 能 将 其 派 上 用 场 。 这 意味 着 部 分 系统 功能 可 以 提 
前 交付 使 用 。 开 发 者 对 系统 的 经 验 能 帮助 其 理解 后 面 的 增 量 需求 和 日前 增 量 后 续 版 本 的 需求 变 
更 。 当 新 的 增 量 完 成 的 时 候 ， 开 发 者 将 其 与 已 存在 的 系统 增 量 集成 ， 以 至 于 系统 功能 随 每 个 所 交 
付 的 增 量 而 改进 。 通 用 性 的 服务 可 以 在 过 程 早 期 阶段 先 实现 ， 也 可 以 等 到 增 量 需要 相应 功能 时 
再 实现 。 

增 量 式 开 发 过 程 的 好 处 是 : 

1 客户 可 以 将 早期 的 增 量 作为 原型 ， 从 中 获得 对 后 面 系统 增 量 的 需求 经 验 。 不 像 原型 过 程 
那样 ， 这 里 的 这 些 增 量 都 是 真正 系统 的 一 部 分 ， 因 此 ， 当 系统 全 部 完成 时 ， 用 户 不 需要 再 重新 
学 习 。 

2. 客户 无 需 等 到 整个 系统 的 实现 才能 从 中 获 益 。 第 一 个 增 量 会 满足 他 们 大 多 数 关键 的 需求 ， 
因此 ， 软 件 马上 就 能 使 用 。 

3. 这 一 过 程 保持 了 增 量 式 开发 的 优点 ， 那 就 是 相对 来 讲 变 更 能 较 容易 地 嵌入 到 系统 中 。 

4. 因为 具有 最 高 优先 权 的 服务 被 首先 交付 ， 而 后 面 的 增 量 也 不 断 被 集成 进来 ， 这 就 使 得 最 
重要 的 系统 服务 肯定 接受 了 最 多 的 测试 。 这 也 就 意味 着 在 系统 的 最 重要 的 部 分 ， 客 户 不 太 可 能 
BARK, 

然而 ， 增 量 式 交 付 也 存在 一 些 问题 ; 

l. 大 多 数 系统 需要 一 组 基本 设施 ， 这 些 基 本 设施 会 被 系统 不 同 部 分 所 使 用 。 因 为 需求 的 详 
细 定 义 是 当 增 量 将 要 被 开发 时 才 完 成 的 ， 所 以 就 很 难 确定 全 体 增 量 所 需要 的 公用 设施 。 

2.， 当 所 开发 的 是 一 个 替换 系统 时 ， 和 迭代 开发 也 是 很 困难 的 。 因 为 用 户 想 要 旧 系 统 的 所 有 功 
能 ， 往 往 不 愿意 尝试 一 个 不 完整 的 新 系统 。 因 此 ， 获 了 到 用 户 反馈 是 困难 的 。 

3. 软件 描述 和 软件 本 身 一 起 开发 是 迭代 过 程 的 本 质 。 然 而 ， 这 与 许多 机 构 的 采购 模型 是 相 
冲突 的 ， 因 为 完整 的 系统 描述 往往 是 系统 开发 合同 的 一 部 分 。 在 增 量 方法 中 ， 直 到 最 后 的 增 量 描 
述 完成 ， 才 会 有 完整 的 系统 描述 。 这 就 需要 一 种 新 形式 的 合同 ， 像 政府 机 构 这 样 的 大 客户 将 很 难 
接受 这 样 的 合同 。 

对 有 些 类 型 的 系统 来 说 ， 使 用 增 量 式 开 发 和 交付 不 是 最 好 的 方法 。 非 常 大 型 的 系统 的 开发 
团队 分 布 在 不 同 的 地 方 ; 一 些 虞 入 式 系统 的 软件 取决 于 硬件 开发 ; 而 对 于 要 求 极 高 的 系统 来 说 ， 
所 有 的 需求 都 需要 经 过 分 析 从 中 查 出 那些 可 能 对 安全 性 和 信息 安全 性 造成 影响 的 交互 。 

当然 ， 这 些 系统 和 其 他 系统 一 样 都 存在 需求 的 不 确定 性 和 易 变 性 。 因 此 ， 为 解决 这 些 问题 并 
获得 增 量 式 开发 的 好 处 ， 可 以 使 用 一 个 过 程 ， 以 便 能 迭代 式 开 发 系统 原型 并 将 其 作为 一 个 实验 

台 以 验证 系统 的 需求 和 设计 。 利 用 从 原型 中 得 到 的 经 验 ， 就 可 以 对 最 后 的 需求 达成 一 致 的 
意见 。 


2.3.3 Boehm 的 螺旋 模型 


风险 驱动 的 软件 过 程 框架 〈 螺 旋 模 型 ) 最初 由 Boehm (1988) 提出 来 。 如 图 2-11 所 示 。 它 
不 是 将 软件 过 程 用 一 个 伴随 着 有 从 一 个 活动 到 另 一 个 活动 的 回潮 的 活动 序列 来 表示 ， 而 是 将 过 
程 用 螺旋 线 表示 。 在 螺旋 线 中 每 个 回路 表示 软件 过 程 的 一 个 阶段 。 因 此 ， 最 里 面 的 回路 可 能 与 系 
统 可 行 性 研究 有 关 ， 下 一 个 回路 与 系统 需求 定义 有 关 ， 再 下 一 个 回路 与 系统 设计 有 关 ， 等 等 。 螺 
旋 模 型 避免 了 变更 风险 ， 它 假定 项 目的 结果 是 有 风险 的 ， 并 在 模型 中 明确 地 包括 风险 管理 活动 
以 减 小 开发 中 的 风险 。 
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在 螺旋 线 中 每 个 回路 被 分 成 4 个 部 分 : 

l. 目标 设置 ”为 项 目的 这 个 阶段 定义 专门 目标 。 指 定 对 过 程 和 产品 的 约束 ， 而 且 制 定 详细 
的 管理 计划 。 分 析 项 目 风 险 ， 根 据 这 些 风险 ， 规 划 可 选 的 策略 方案 。 

2. 风险 评估 和 规避 每 一 个 项 目 风险 确定 以 后 要 进行 详细 的 分 析 ， 并 采取 措施 规避 这 些 风 
险 。 举 例 来 说 ， 如 果 有 需求 不 合适 的 风险 ， 就 可 能 需要 开发 一 个 原型 系统 。 

3. 开发 和 有 效 性 验证 ”在 风险 预 估 以 后 ， 就 可 以 为 系统 选择 开发 模型 。 举 例 来 说 ， 如 果 用 
户 界面 风险 是 主要 的 ， 一 个 适当 的 开发 模型 可 能 是 建立 抛弃 式 原 型 。 如 果 安 全 性 风险 是 主要 的 ， 


. 则 基于 形式 化 转换 的 开发 可 能 是 最 适当 的 ， 等 等 。 如 果 主 要 风险 在 于 子 系统 集成 ， 那 么 瀑布 模型 


可 能 是 最 适当 的 。 
4. 规划 对 项 目 进 行 评审 以 确定 是 否 需要 进 人 螺旋 线 的 下 一 个 环 路 。 如 果 决 定 需要 继续 ， 
就 要 做 出 项 目的 下 个 阶段 的 计划 。 








对 目标 、 可 选 方 


预 估 可 选 方案 , 明 
案 和 约束 的 确定 确 并 解决 风险 








需求 规划 和 生 
命 周 期 规划 











集成 和 测试 计划 
规划 下 一 阶段 


图 2-11 Boehm 的 软件 过 程 的 螺旋 模型 (© IEEE 1998) 


螺旋 模型 和 其 他 软件 过 程 模型 之 间 的 重要 区 别 在 于 ， 螺 旋 式 模型 中 对 风险 的 考虑 是 明确 的 。 
螺旋 模型 的 一 个 回路 始 于 如 性 能 、 功 能 等 关心 的 目标 ， 达 到 这 些 目标 的 可 能 方式 以 及 对 这 些 方 
式 的 约束 在 这 时 要 全 部 列 出 。 对 每 个 目标 的 所 有 可 选 方案 要 进行 评估 ， 通 常 这 就 会 帮助 识别 项 
和 目 风险 的 源头 。 下 一 步 又 是 通过 详细 分 析 、 原 型 建立 、 仿 真 等 活动 预 估 这 些 风险 。 

一 旦 风险 已 经 得 到 评估 ， 一 些 开发 活动 就 可 以 进行 了 ， 随 后 就 是 对 开发 过 程 其 他 阶段 的 活 
动 进行 规划 。 遂 俗 地 说 ， 风 险 就 是 出 问题 的 可 能 性 。 比 如 ， 若 想 使 用 一 种 全 新 的 程序 设计 语言 ， 
风险 来 自 使 用 的 编译 器 是 否 可 靠 或 者 能 否 产生 高 效率 的 目标 代码 。 在 项 目 管理 中 避免 项 目 超期 
和 超支 等 风险 是 项 目 管理 中 最 重要 的 活动 ， 将 在 第 22 章 讨论 这 个 问题 。 


2.4 Rational 统一 过 程 
Rational 统一 过 程 (RUP) (Krutchen, 2003) 是 新 式 过 程 模 型 的 一 个 实例 ， 该 新 式 过 程 模 型 
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来 自 于 UML 上 的 工作 以 及 相关 的 统一 软件 开发 过 程 (Rumbaugh 等 ，1999; Arlow 和 Neustadt, 
2005 ) 。 由 于 它 是 一 个 混成 过 程 模 型 的 一 个 很 好 的 实例 ， 所 以 在 此 给 出 一 个 描述 。 它 集合 了 所 有 
一 般 过 程 模 型 的 要 素 (2. 1 节 ) ， 并 给 出 了 在 描述 和 设计 上 的 好 的 实践 (2.2 节 ) ， 还 支持 原型 构 
造 和 增 量 交付 方法 (2.3 节 )。 

RUP 过 程 认 识 到 传统 过 程 模型 只 是 展现 过 程 的 一 个 视角 。 相 比 之 下 ，RUP 一 般 从 3 个 视角 
来 描述 过 程 : 

1. 动态 视角 , 给 出 模型 中 随时 间 所 经 历 的 各 个 阶段 。 

2. 静态 视角 ， 给 出 所 进行 的 过 程 活动 。 

3. 实践 视角 ， 提 出 在 过 程 中 可 以 采用 的 良好 实践 的 建议 。 


( 阶段 反复 


图 2-12 Rational 统一 过 程 的 各 阶段 


绝 大 多 数 关 于 RUP 的 描述 都 试图 将 静态 视角 和 动态 视角 结合 在 一 个 图 中 (Kmtchen，2000) 。 
这 会 使 得 过 程 十 分 难以 理解 ， 所 以 对 每 一 个 视角 给 出 单独 的 描述 。 

RUP 是 一 个 阶段 化 的 模型 ， 识 别 出 软 件 过 程 当 中 的 4 个 独立 阶段 。 然 而 ， 不 像 瀑 布 模型 各 个 
阶段 与 过 程 活动 是 等 同 的 那样 ，RUP 中 的 阶段 是 紧密 与 业务 关联 的 ， 而 不 是 与 技术 层面 关联 的 。 
图 2-12 给 出 了 RUP 中 的 阶段 。 它 们 是 : 

1. 开端 ”开端 阶段 的 目标 是 建立 系统 的 一 个 业务 案例 。 要 识别 所 有 与 系统 交互 的 外 部 实体 
《人 和 系统 ) 并 定义 这 些 交 互 。 然 后 使 用 这 些 信息 评估 系统 对 业务 的 贡献 。 如 果 这 个 贡献 是 微小 
的 ， 那么 项 目 就 要 在 此 阶段 结束 时 被 取消 了 。 

2. 细 化 ” 细 化 阶段 的 目标 是 增进 对 问题 域 的 理解 ， 建 立 系统 的 体系 框架 ， 给 出 项 目 计 划 并 
识别 关键 项 目 风险 。 在 这 个 阶段 完成 时 ， 就 得 到 了 系统 的 需求 模型 ， 可 能 是 一 组 用 UML 描述 的 
用 例 、 体 系 结构 描述 和 开发 计划 。 

3. 构造 ”构造 阶段 主要 关心 的 是 系统 设计 、 编 程 和 测试 。 系 统 的 各 个 部 分 并 行 开发 ， 然 后 
集成 在 一 起 。 在 这 个 阶段 完成 时 ， 就 得 到 了 一 个 能 工作 的 软件 系统 ， 还 有 能 交付 给 用 户 的 相关 
文档 。 

4. 转换 RUP 的 最 后 阶段 ， 关 注 如 何 将 系统 从 开发 单位 转移 到 用 户 单位 ， 并 使 之 在 真实 环 
境 中 工作 。 这 是 被 绝 大 多 数 软 件 过 程 模型 所 忽视 的 东西 ， 而 事实 上 这 是 一 个 代价 很 高 且 有 时 间 
题 很 大 的 活动 。 在 此 阶段 完成 时 ， 我 们 就 有 了 一 个 在 运行 环境 下 能 正常 工作 的 文档 完备 的 软件 
系统 了 。 

RUP 中 对 迭代 的 支持 有 两 种 方式 。 每 一 个 阶段 可 能 被 迭代 地 执行 ， 其 结果 一 次 次 增 量 式 地 
得 到 改善 。 另 外 ， 所 有 阶段 作为 一 个 整体 也 会 增 量 式 地 执行 ， 如 图 2-12 中 从 转换 到 开端 的 循环 
箭头 所 示 。 

RUP 的 静态 视角 聚焦 在 开发 过 程 中 所 发 生 的 活动 上 。 这 些 在 RUP 描述 中 被 称 为 工作 流 。 在 
此 过 程 中 我 们 找 出 了 6 个 核心 过 程 工作 流 ，3 个 核心 支持 工作 流 。 在 对 RUP 的 设计 中 采用 了 
UML, UML 是 一 个 面向 对 象 建 模 语言 ， 所 以 工作 流 描述 是 围绕 着 相关 的 UML 模型 给 出 的 ， 这 些 
UML 模型 如 时 序 模型 、 对 象 模型 等 。 核 心 工程 和 支持 工作 流 的 描述 如 图 2-13 所 示 。 
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业务 建 模 使 用 业务 用 例 对 业务 过 程 进 行 建 模 


需求 找 出 与 系统 进行 交互 的 参与 者 并 开发 用 例 完成 对 系统 需求 的 建 模 


分 析 和 设计 使 用 体系 结构 模型 、 组 件 模型 、 对 象 模型 和 时 序 模型 来 创建 并 记录 设计 模型 
实现 ULP | EDR EMABBRET ERT. 从 设计 模型 自动 地 生成 代码 有 助 于 
加 快 此 过 


测试 ete ER 它 的 执行 是 与 实现 紧密 相连 的 。 系 统 测试 紧 随 实现 环节 的 完成 

un 
配置 和 变更 管理 此 支持 性 工作 流 用 于 管理 对 系统 的 变更 (参见 第 25 章 ) 
项 目 管理 此 支持 性 工作 流 用 于 管理 系统 开发 (参见 第 22 章 和 第 23 X) 
环境 此 工作 流 用 于 提供 软件 开发 团队 可 用 的 合适 的 软件 工具 














































图 2-13 Rational 统一 过 程 中 的 静态 工作 流 


分 别 表现 动态 视角 和 静态 视角 的 好 处 在 于 ， 开 发 过 程 中 的 阶段 是 不 与 特定 工作 流 相关 联 的 。 
至 少 从 原理 上 讲 ， 各 种 RUP 工作 流 在 整个 过 程 的 所 有 阶段 中 都 是 可 能 存在 的 。 当 然 ， 在 过 程 的 
初期 阶段 ， 绝 大 多 数 工作 量 可 能 是 花 在 如 业务 建 模 和 需求 这 样 的 工作 流 上 了 ， 而 在 后 期 阶段 中 
工作 量 主要 都 花 在 了 测试 和 部 署 上 了 。 

RUP 的 实践 视角 描述 了 在 系统 开发 中 所 需要 的 好 的 软件 工程 实践 。6 个 基本 的 且 最 好 的 实 
RE: 

1. 迁 代 地 开发 软件 ”根据 客户 的 轻重 缓急 来 规划 系统 的 增 量 ， 在 开发 过 程 中 先 开发 和 交付 
最 高 优先 权 的 系统 特性 。 

2 对 需求 的 管理 ”明确 地 记录 客户 的 需求 并 跟踪 这 些 需 求 的 变更 。 在 接受 之 前 分 析 系 统 变 
更 所 带 来 的 影响 。 

3. 使 用 基于 组 件 的 体系 结构 ”将 系统 体系 结构 组 织 成 组 件 的 形态 ， 如 在 本 章 前 面 所 讨论 的 
那样 。 

4. 可视化 地 建 模 软件 ”使 用 图 形 UML 模型 表现 软件 的 静态 和 动态 视图 。 

5. 检验 软件 质量 保证 软件 满足 了 机 构 质 量 标准 。 

6. 控制 对 软件 的 变更 使 用 变更 管理 系统 、 配 置 管理 程序 和 工具 来 管理 软件 的 变更 。 

RUP 并 不 是 一 种 适合 所 有 开发 类 型 的 过 程 ， 比 如 机 人 式 软 件 开 发 。 但 是 它 确实 代表 了 一 种 
潜在 地 结合 了 3 种 基本 过 程 模 型 的 方法 ， 这 些 基 本 过 程 模型 如 2. 1 节 中 介绍 的 。RUP 最 为 重要 的 
创新 在 于 把 阶段 和 工作 流 相 分 离 ， 以 及 对 将 软件 部 署 到 用 户 环境 的 看 重 。 阶 段 是 动态 的 而 且 是 
有 目标 的 。 工 作 流 是 静态 的 技术 活动 ， 且 是 不 与 单个 阶段 相关 的 但 可 以 在 整个 开发 过 程 中 使 用 
以 达到 每 个 阶段 的 目标 的 。 


要 点 


a 软件 过 程 是 产生 一 个 软件 系统 的 一 系列 活动 。 软 件 过 程 模型 是 这 些 过 程 的 抽象 表示 。 

一 般 过 程 模型 描述 软件 过 程 的 组 成 。 一 般 过 程 模型 实例 包括 瀑布 模型 、 增 量 式 开 发 、 面 向 
复 用 的 开发 。 

m 需求 工程 是 开发 软件 描述 的 过 程 。 描 述 的 目的 是 向 开发 者 传达 客户 方 对 系统 的 需要 。 

里 设计 和 实现 过 程 是 将 需求 措 述 转换 为 一 个 可 运行 的 软件 系统 的 过 程 。 系 统 化 的 设计 方法 用 
来 完成 这 个 转换 。 
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u 软件 有 效 性 验证 是 检查 系统 是 否 与 它 的 描述 相 一 致 ， 以 及 是 否 符合 系统 用 户 的 真正 需要 的 
过 程 。 
u 软件 进化 是 修改 已 存在 的 软件 系统 以 适应 用 户 新 的 需求 的 过 程 。 变 更 是 一 个 持续 的 过 程 ， 
软件 必须 在 变更 过 程 中 保持 可 用 。 
m 过 程 应 包含 应 对 变更 的 活动 。 这 可 能 包含 一 个 原型 构造 阶段 ， 以 帮助 避免 在 需求 和 设计 上 
的 错误 决定 。 过 程 应 该 适应 迄 代 开发 和 交付 ， 这 样 变更 时 就 不 会 对 整个 系统 带 来 干扰 。 
m Rational 统一 过 程 是 新 式 基 本 过 程 模型 ， 其 特点 是 由 阶段 (开端 、 细 化 、 构 造 和 转换 ) 所 
构成 , 但 是 它 把 活动 (需求 、 分 析 和 设计 等 ) 和 阶段 相 区 别 。 


进一步 阅读 材料 

《Managing Software Quality and Business Risk》 这 是 一 本 软件 管理 方面 的 一 本 主要 著作 。 不 仅 如 
此 ， 这 本 书 中 也 包括 很 棒 的 有 关 过 程 模型 (第 4 3€) 的 一 章 (M. Ould, John Wiley & Sons, 1999), 

(Process Models in Software Engineering》 这 本 书 对 已 提出 的 软件 工程 过 程 模 型 做 了 很 好 的 概 
yh (W. Scacchi, Encyclopaedia of Software Engineering, ed. J. J. Marcinicak, John Wiley and Sons, 
2001). http: //www/ics. uci. edu/ ~ wscacchi/Papers/SE-Encyc/Process-Models-SE-Encye. pdf, 

(The Rational Unified Process—An introduction (3rd edition) ) 3X J& — ak 目前 所 能 得 到 的 关于 
RUP 的 可 读 性 最 好 的 一 本 书 了 。 作 者 对 过 程 有 很 好 的 描述 ， 但 是 他 本 人 却 更 看 重 书 中 有 关 使 用 此 
过 程 所 面临 的 一 些 实际 困难 的 内 容 (P. Krutchen, Addison -Wesley, 2003) , 


练习 

21 为 以 下 各 系统 提出 合适 的 软件 过 程 模型 ， 并 基于 系统 所 属 类 型 给 出 你 的 理由 : 
m 汽车 防 锁 死 刹车 控制 系统 ; 

m 一 个 支持 软件 维护 的 虚拟 现实 系统 ; 
m 大 学 记 账 系统 ， 准 备 替换 一 个 已 存在 的 系统 ， 
W 一 个 位 于 火车 站 的 交互 式 火车 车 次 查询 系统 。 

2.2 解释 为 什么 增 量 式 开发 是 开发 商务 软件 系统 的 最 有 效 技术 ? 为 什么 这 种 模型 不 适用 于 实时 系统 工程 ? 

2.3 思考 图 2-3 所 示 的 基于 复 用 的 过 程 模 型 。 解 释 在 这 个 过 程 中 为 什么 必须 要 有 两 个 分 离 的 需求 工程 
活动 。 

2.4 说 明 为 什么 在 需求 工程 过 程 中 区 分 用 户 需 求 开发 和 系统 需求 开发 是 重要 的 。 

1.5 描述 在 软件 设计 过 程 中 的 主要 活动 以 及 这 些 活动 的 输出 。 使 用 图 来 说 明 在 这 些 活动 输出 之 间 可 能 存在 
的 关系 。 

2.6 解释 为 什么 在 复杂 系统 中 ， 变 更 是 不 可 和 避免 的 ， 并 给 出 过 程 活动 的 例子 〈 除 了 原型 和 增 量 交付 以 外 
的 ) 有 助 于 预测 变更 ， 并 使 已 开发 的 软件 更 适应 变更 。 

2.7 解释 为 什么 采用 原型 开发 的 系统 通常 不 被 用 作 产 品系 统 。 

2.8 解释 为 什么 Boehm 的 螺旋 模型 是 一 个 适应 性 模型 ， 可 以 同时 支持 变更 避免 和 变更 容忍 活动 。 说 明 为 
什么 在 实践 中 这 个 模型 还 没有 被 广泛 应 用 。 

2.9 如 在 Rational 统一 过 程 中 那样 ， 解 释 提供 静态 视角 和 动态 视角 的 优势 是 什么 ? 

2.10 从 历史 角度 看 ,技术 的 引进 导 臻 了 前 所 未 有 的 劳动 力 市 场 变 化 ， 至 少 临时 性 地 取代 了 人 们 的 工 
作 。 讨 论 大 量 的 过 程 自动 化 的 引信 是否 可 能 带 来 同样 的 结果 。 如 果 你 不 认为 它 会 这 样 ， 解 释 为 
什么 。 如 果 你 认为 它 将 减少 工作 机 会 ， 那 么 受到 影响 的 工程 人 员 积 极地 或 消极 地 抵抗 这 种 技术 
是 否 道德 ? 
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目标 


本 章 的 目标 是 介绍 敏捷 软件 开发 的 儿 种 方法 。 读 完 本 章 ， 你 将 了 解 到 以 下 内 容 : 

m 理解 敏捷 软件 开发 方法 的 基本 原理 、 敏 捷 方 法 的 核心 内 涵 ， 以 及 它 与 计划 驱动 软件 开发 方 
法 之 间 的 差别 ; 

w 了 解 极限 编程 的 主要 做 法 ， 以 及 它 是 如 何 贯 彻 和 遵循 敏捷 软件 开发 方法 的 一 般 性 原理 的 ; 
m 理解 敏捷 项 目 管理 的 Serum 方法 ; 

明了 解 在 大 型 软件 系统 开发 过 程 中 应 用 伸缩 的 敏捷 方法 时 的 事项 和 问题 。 


当前 的 业务 都 是 处 于 全 球 性 、 快 速 变化 的 环境 中 的 。 它 们 不 得 不 对 很 多 方面 做 出 响应 ， 包 括 
新 的 机 遇 和 市 场 、 不 断 变化 的 经 济 条 件 、 出 现 的 新 的 竞争 产品 和 服务 。 软 件 几 乎 是 所 有 业务 运行 
当中 的 一 部 分 ， 所 以 非常 重要 的 一 点 是 新 的 软件 要 迅速 地 开发 出 来 以 抓 住 新 的 机 遇 ， 应 对 竞争 
压力 。 因 而 ,快速 的 软件 开发 和 交付 通常 已 成 为 软件 系统 的 最 为 关键 性 的 需求 了 。 事 实 上 ， 很 多 
业务 都 宁愿 牺牲 一 些 软件 质量 、 降 低 某 些 需求 来 赢得 快速 软件 交付 。 

因为 业务 运行 于 一 个 变化 的 环境 中 ， 实 际 上 通常 是 不 可 能 导出 一 个 完全 的 和 稳定 的 软件 需 
求 。 所 提出 的 需求 不 可 避免 地 要 发 生 改 变 ， 这 是 因为 ， 客 户 会 发 现 他 们 是 不 可 能 预知 系统 是 如 何 
影响 他 们 的 实际 工作 的 ， 本 系统 是 如 何 与 其 他 系统 进行 交互 的 ， 以 及 用 户 哪 些 操作 应 该 能 自动 
完成 。 只 有 当 系 统 交付 之 后 且 用 户 在 有 了 一 些 系统 使 用 经 验 的 时 候 真正 的 需求 才能 浮 出 水 面 。 
虽然 如 此 ， 由 于 外 部 因素 的 影响 ， 需 求 的 变更 可 能 来 得 非常 快 ， 且 是 不 可 预知 的 。 这 样 软 件 就 可 
能 延期 交付 。 

建立 在 对 需求 描述 ， 然 后 进行 设计 ， 构造 ， 最 后 再 进行 测试 的 完整 计划 上 的 软件 开发 过 程 是 
不 适应 快速 软件 开发 的 。 当 需求 发 生 改 变 , 或 者 是 当 需 求 出 现 问 题 时 ， 系 统 设计 和 实现 不 得 不 返 
工 和 重新 进行 测试 。 其 结果 是 ,传统 的 瀑布 模型 或 基于 描述 的 过 程 总 是 拖延 ， 最 后 的 软件 交付 给 
客户 的 时 间 远 远 晚 于 最 初 的 规定 。 

对 有 些 类 型 的 系统 ， 如 安全 要 求 极 高 的 控制 系统 ， 对 其 完整 的 系统 分 析 是 十 分 重要 的 ， 采 用 
计划 驱动 的 方法 是 恰当 的 。 然 而 ， 在 快速 变化 的 业务 环境 中 ， 这 能 引发 实际 的 问题 。 在 软件 投入 
使 用 的 时 候 ， 最 初 购买 该 软件 的 理由 可 能 已 经 完全 不 复 存 在 了 ， 所 以 实际 上 软件 此 时 已 经 变 得 
毫 无 用 处 。 因 此 ， 尤 其 是 对 业务 系统 ， 瞄 准 快 速 软件 开发 和 交付 的 开发 过 程 就 十 分 关键 了 。 

人 们 认识 到 对 快速 的 系统 开发 和 能 够 处 理 不 断 变更 的 需求 的 过 程 的 需要 已 经 有 一 段 时 间 了 。 
IBM 在 20 世纪 80 年 代 介 绍 了 增 量 开发 (Mills 等 ，1980) 。 也 是 在 20 世纪 80 年 代 ， 第 四 代 语 言 
的 引入 支持 快速 开发 和 交付 的 思想 (Martin，1981) 。 然 而 ， 这 个 概念 的 真正 得 到 发 展 是 在 20 tt 
纪 90 年 代 后 期 ， 伴 随 着 敏捷 方法 的 发 展 ， 如 DSDM (Stapleton, 1997), Serum (Schwaber 和 Bee- 
de，2001) 、 极 限 编程 (Beck, 1999; Beck, 2000), 

快速 的 软件 开发 过 程 就 是 为 迅速 制造 可 用 软件 而 设计 的 。 软 件 的 开发 和 部 署 不 是 一 次 完成 
的 ， 而 是 以 一 系列 增 量 的 形式 完成 的 ， 每 一 个 增 量 包括 新 的 系统 功能 。 尽 管 有 很 多 快速 软件 开发 
的 方法 ， 它 们 都 有 一 些 基本 的 特性 : 

1. 描述 、 设 计 和 实现 过 程 是 交织 在 一 起 的 。 没 有 详细 的 系统 描述 ， 设 计 文 档 得 到 了 最 少 化 ， 
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或 者 是 由 实现 系统 所 采用 的 编程 环境 所 自动 生成 。 用 户 需 求 文档 只 定义 最 为 重要 的 系统 特性 。 

2. 系统 通过 一 系列 版 本 开发 出 来 。 最 终 用 户 和 其 他 系统 信息 持 有 者 都 参与 了 每 个 版 本 的 定 
义 和 评 估 。 他 们 提出 对 软件 的 变更 建议 和 对 系统 后 一 个 版 本 应 该 实现 的 新 需求 的 提议 。 

3. 系统 用 户 界面 通常 是 采用 交互 式 开发 系统 开发 的 ， 这 些 开发 系统 允许 通过 绘图 和 在 界面 
上 摆 放 图 标的 方式 迅速 完成 界面 的 设计 。 系 统 可 以 为 浏览 器 生成 基于 Web 的 界面 ， 或 者 是 为 专 
门 平台 比如 微软 视窗 设计 一 个 界面 。 

敏捷 方法 是 增 量 式 开发 方法 ， 每 个 增 量 一 般 都 比较 小 ， 通 常 ， 每 两 三 个 星期 就 会 创建 系统 的 
新 版 本 并 提供 给 用 户 使 用 。 用 户 参 与 开发 过 程 ， 以 便 快 速 地 获得 变更 需求 的 反馈 。 利 用 非 正式 的 
沟通 、 而 不 是 采用 有 书面 文件 的 正式 会 议 ， 这 样 使 文档 制作 量 最 少 化 。 


3.1 敏捷 方法 


在 20 世纪 80 年 代 和 90 年 代 初 ， 人 们 对 于 取得 好 的 软件 的 最 好 方法 的 普遍 共识 是 : 需要 通 
过 仔细 的 项 目 规划 和 形式 化 质量 保证 ， 采 用 CASE 工具 所 支持 的 分 析 和 设计 方法 ， 遵 循 受 控 的 和 
严格 的 软件 开发 过 程 。 这 些 观 点 来 自 于 软件 工程 领域 中 关注 大 型 、 长 生命 期 日 是 由 大 量 单 体 程 
序 所 构成 的 软件 系统 的 开发 的 那些 人 。 

这 种 软件 是 由 大 型 团队 所 开发 的 。 通 常 他 们 是 地 理 上 是 分 散 的 ， 而 且 所 进行 的 开发 工作 时 
间 持 续 很 长 。 这 类 软件 的 例子 是 现代 飞机 控制 系统 ， 可 能 需要 10 年 左右 的 时 间 完 成 从 初始 描述 
直到 部 署 完毕 。 这 些 基于 计划 的 方法 涉及 在 规划 、 设 计 和 文档 生成 方面 的 高 额 的 费用 。 这 个 费用 
在 下 列 情况 下 是 合理 的 ， 这 些 情况 包括 : 当 多 个 开发 团队 必须 协同 工作 、 所 开发 的 系统 是 要 求 极 
高 的 系统 ， 或 者 是 当 很 多 人 力 需 要 投入 到 软件 的 整个 生命 期 的 维护 工作 中 去 的 情形 。 

然而 ， 当 这 个 重量 级 的 、 基 于 计划 的 开发 方法 应 用 于 小 型 或 者 是 中 等 规模 业务 系统 时 ， 所 需 
要 的 费用 在 软件 开发 过 程 中 所 占 的 比例 非常 大 ， 以 至 于 主宰 整个 开发 过 程 。 更 多 的 时 间 花 在 了 
系统 应 该 如 何 开 发 而 不 是 花 在 程序 开发 和 测试 上 。 当 系统 需求 发 生 了 变更 ,返工 就 是 很 严重 的 
问题 了 ， 至 少 在 理论 上 讲 ， 措 述 和 设计 都 是 需要 随 着 程序 的 改变 而 改变 的 。 

对 这 种 重量 级 的 方法 不 满 引发 了 众多 的 软件 开发 人 员 在 20 世纪 90 年 代 提出 了 新 的 敏捷 开发 
方法 。 这 些 方法 允许 开发 团队 将 主要 精力 集中 在 软件 本 身 而 不 是 在 设计 和 编制 文档 上 。 敏 捷 方 
法 普遍 地 依赖 于 迭代 方法 来 完成 软件 描述 、 开 发 和 交付 。 最 适合 系统 需求 在 开发 过 程 中 快速 变 
化 的 应 用 类 型 。 软 件 开发 人 员 打 算 用 它们 来 迅速 完成 和 交付 可 用 软件 给 客户 ， 客 户 提出 新 的 变 
化 的 需求 ， 由 软件 开发 人 员 在 下 一 个 循环 中 实现 。 他 们 的 目标 是 减少 开发 过 程 中 的 繁琐 多 余 的 
部 分 ， 通 过 避免 那些 从 长 远 看 未 必 有 用 的 工作 和 了 减少 可 能 永远 都 不 会 被 用 到 的 文档 的 方法 达 此 
目的 。 

敏捷 方法 背后 的 基本 原理 体现 在 敏捷 宣言 中 。 此 宣言 由 那些 创建 这 些 方法 的 主要 人 物 所 提 
出 。 宣 言 如 下 : 

我 们 在 开发 过 程 中 发 现 更 好 的 软件 开发 方法 ， 并 帮助 他 人 这 样 做 。 通 过 这 项 工作 我 们 得 到 
如 下 评估 : 

个 体 和 交互 胜 过 过 程 和 工具 ; 

编写 软件 胜 过 书写 详尽 的 文档 ; 

用 户 合作 胜 过 合同 谈判 ; 

响应 变更 胜 过 遵循 计划 ; 

也 就 是 说 ， 虽 然 右 边 的 项 有 价值 ， 但 我 们 更 重视 左边 的 项 的 价值 。 

也 许 最 为 有 名 的 敏捷 方法 就 数 极限 编程 了 (Beck, 1999; Beck，2000) ， 下 一 小 节 将 专门 介 
绍 这 个 主题 。 其 他 敏捷 方法 还 包括 Scrum (Cohn, 2009; Schwaber, 2004; Schwaber 和 Beedle, 
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2001), Crystal (Cockburn, 2001; Cockburn, 2004), 适应 性 软件 开发 〈 Highsmith，2000) DS- 
DM (Stapleton, 1997; Stapleton, 2003) 和 特征 驱动 开发 (Palmer 和 Felsing，2002)。 这 些 方法 
的 成 功 还 导致 了 它们 与 更 传统 的 开发 方法 的 集成 ， 这 种 建立 在 系统 建 模 基 础 上 的 集成 方法 形成 
了 所 谓 的 敏捷 建 模 的 概念 (Ambler 和 Jeffries, 2002), LJ Rational 统一 过 程 的 敏捷 实例 化 的 概 
& (Laman, 2002), - 

尽管 这 些 敏 捷 方 法 都 是 建立 在 增 量 式 开发 和 交付 的 概念 上 的 ， 但 达到 这 样 的 目标 所 用 的 过 
程 是 不 同 的 。 然 而 ， 它 们 的 基本 原则 是 相同 的 ， 即 都 基于 人 敏捷 宣言 ， 因 而 有 很 多 共同 点 。 这 些 基 
本 原则 如 图 3-1 所 示 。 不 同 的 敏捷 方法 用 不 同 的 方法 实例 化 这 些 准 则 ， 这 里 就 不 一 一 效 述 。 在 此 
主要 介绍 两 个 最 为 广泛 应 用 的 方法 : 极限 编程 ( 见 3.3 节 ) M Scrum ( 见 3.4 节 )。 


























| m w 描述 
Epis 客户 应 该 在 开发 过 程 中 始终 紧密 参与 其 中 。 他 们 的 作用 是 提供 新 系统 的 需求 、 对 需求 拓 
di 序 ， 并 评估 系统 的 选 代 
MEREN 软件 以 增 量 的 方式 进行 开发 ， 客 户 指定 在 每 个 增 量 中 将 要 包含 的 需求 
AGGER 开发 团队 的 技术 应 该 得 到 承认 和 发 扬 ， 团 队 成 员 应 该 保持 他 们 自己 的 工作 风格 ， 不 落 
BE 
接受 变更 预料 系统 需求 的 变更 ， 并 设计 系统 使 之 适应 这 些 变更 














保持 简单 性 致力 于 所 开发 的 软件 和 开发 过 程 的 简单 性 。 只 要 可 能 ， 就 积极 地 去 排除 系统 中 的 复杂 性 
图 3-1 ”敏捷 方法 的 基本 原则 


对 下 面 几 个 类 型 的 系统 开发 ， 敏 捷 方法 是 非常 成 功 的 : 

1. 软件 公司 正在 开发 并 准备 出 售 的 是 一 个 小 型 或 中 型 的 产品 。 

2. 机构 内 部 的 定制 系统 的 开发 。 客 户 会 有 一 个 关于 参与 到 开发 过 程 中 去 的 明确 承诺 ， 且 没 
有 许多 来 自 外 部 的 规章 和 法 律 等 影响 。 

正如 本 章 最 后 一 节 将 介绍 的 ， 敏捷 方 法 的 成 功 意味 着 人 们 有 极 大 的 兴趣 要 将 这 些 方法 应 用 
到 其 他 类 型 的 软件 开发 中 。 然 而 ， 因 为 它 致力 于 小 的 、 紧 密集 合 的 团队 ,将 它们 扩展 到 大 型 系统 
中 就 会 有 许多 问题 。 但 也 已 经 有 安全 要 求 极 高 的 系统 工程 中 应 用 敏捷 方法 的 经 验 ( Drobna 等 ， 
2004) 。 尽 管 如 此 ， 因 为 要 求 极 高 的 系统 对 信息 安全 性 、 安 全 性 、 可 靠 性 分 析 的 需要 ， 敏 捷 方 法 
在 应 用 到 要 求 极 高 的 系统 工程 中 之 前 ， 需 要 进行 重大 修改 。 

在 实践 中 ， 敏 捷 方 法 所 基于 的 基本 原则 有 时 是 很 难 付 诸 实施 的 : 

1， 虽 然 让 客户 参与 到 开发 过 程 中 来 的 想法 是 很 吸引 人 的 ， 但 是 它 的 成 功 依赖 于 有 愿意 加 入 
进来 且 肯 在 与 开发 团队 的 沟通 上 花 时 间 的 人 ， 而 且 此 人 还 要 能 够 代表 所 有 的 信息 持 有 者 。 常 发 
生 的 情况 是 ， 客 户 代表 届 从 于 其 他 压力 而 不 能 够 全 身心 地 投入 到 软件 开发 中 来 。 

2. 团队 成 员 可 能 从 性 格 上 不 太 适 应 大 强度 的 投入 ， 而 这 又 正 是 敏捷 方法 的 典型 特征 。 因 而 
他 们 可 能 不 能 够 做 到 与 其 他 成 员 的 良好 沟通 。 

3. 对 变更 做 出 优先 级 排序 可 能 是 极其 困难 的 ， 尤 其 是 对 那些 拥有 很 多 信息 持 有 者 的 系统 。 
典型 情形 是 ， 每 个 信息 持 有 者 会 给 出 一 个 不 同 的 优先 级 排序 。 

4. 维护 简单 性 需要 额外 的 工作 。 迫 于 交付 时 间 表 的 压力 ， 团 队 成 员 会 没有 时 间 执 行 应 该 有 
的 系统 简化 过 程 。 

5. 许多 机 构 ， 特 别 是 大 公司 ， 已 花费 数 年 致力 于 改变 他 们 的 文化 ， 以 保证 制定 和 遵循 过 程 
规范 。 他 们 很 难 转 向 另 一 种 工作 模型 ， 这 种 工作 模型 中 的 过 程 是 非 正 规 的 ， 而 且 是 由 开发 团队 制 
定 的 。 

另外 还 会 出 更 一 个 非 技术 性 问题 ， 这 个 问题 也 是 增 量 式 开发 和 交付 的 一 般 问题 ， 即 在 系统 
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客户 通过 某 外 部 机 构 进 行 系统 开发 时 所 发 生 的 问题 。 软 件 需 求 文档 总 是 客户 和 提供 商 之 间 合 同 
的 一 部 分 内 容 。 因 为 增 量 描述 是 敏捷 方法 的 固有 内 容 ， 为 此 类 开发 写 合 同 是 件 困难 的 事情 。 

因此 ， 敏 捷 方法 不 得 不 依赖 这 样 的 合同 ， 即 客户 根据 系统 开发 所 需要 的 时 间 来 支付 费用 ， 而 
不 是 根据 需求 描述 来 支付 费用 。 如 果 一 切 发 展 顺 利 ， 这 对 客户 和 开发 者 来 说 都 将 是 有 利 的 。 然 
而 ， 如 果 问 题 出 现 了 ， 那 么 双方 就 会 相互 指责 ， 对 谁 该 负责 为 解决 问题 所 花费 的 额外 时 间 和 资源 
费用 发 生 争吵 。 

大 多 数 介绍 敏捷 方法 和 经 验 的 书籍 和 论文 都 是 讨论 利用 这 些 技术 进行 新 的 系统 开发 。 但 是 ， 
正如 第 9 章 所 解释 的 ， 大 量 的 软件 工程 努力 维护 和 进化 现 有 的 软件 系统 。 仅 有 一 小 部 分 的 经 验 报 
告 是 关于 使 用 敏捷 方法 进行 软件 维护 的 (Poole 和 Huisman，2001 ) 。 在 思考 敏捷 方法 和 维护 的 时 
候 ， 需 要 考虑 两 个 问题 : 

1. 由 于 开发 过 程 中 强调 正式 文档 的 最 小 化 ， 用 敏捷 技术 开发 的 系统 是 否 可 维护 ? 

2. 敏捷 方法 是 否 能 有 效 地 用 于 进化 系统 以 响应 用 户 的 变更 请 求 ? 

正式 的 文档 应 该 是 描述 系统 的 ， 使 用 户 更 容易 理解 系统 。 然 而 ， 在 实践 中 ， 正 式 的 文档 经 常 
不 能 及 时 更 新 ， 因 此 就 不 能 正确 地 反应 程序 源码 。 因 为 这 个 原因 ， 敏 捷 方 法 的 推崇 者 们 争辩 说 ， 
写 文档 是 浪费 时 间 ， 实 施 可 维护 的 软件 关键 是 编写 高 质量 的 、 可 读 的 代码 。 因 此 ， 人 敏捷 实践 强调 
编写 结构 良好 代码 的 重要 性 ， 并 致力 于 改善 代码 。 所 以 ， 用 敏捷 方法 开发 的 系统 ， 维 护 时 文档 的 
缺乏 不 应 该 成 为 一 个 问题 。 

但 是 ， 在 系统 维护 上 ， 作 者 的 经 验 是 : 关键 文档 是 系统 需求 文档 ， 它 告诉 软件 工程 师 们 软件 
系统 应 该 做 什么 。 如 果 没 有 这 些 信息 ， 很 难 评估 所 建议 的 系统 变更 的 影响 。 许 多 敏捷 方法 非 正式 
的 、 增 量 式 地 收集 需求 ， 也 不 建立 有 条 理 的 需求 文档 。 为 此 ， 使 用 敏捷 方法 很 可 能 使 随后 的 系统 
维护 变 得 更 难 、 更 昂贵 。 

不 管 系统 开发 时 是 否 用 了 敏捷 技术 ， 敏 捷 实 践 用 在 维护 过 程 本 身 可 能 是 有 效 的 。 增 量 式 交 
付 、 面 向 变更 和 维护 简单 化 的 设计 对 于 变更 的 软件 是 有 很 大 意义 的 。 实 际 上 ， 可 以 认为 敏捷 开发 
过 程 是 一 种 软件 进化 的 过 程 。 

然而 ， 软 件 交 付 后 的 主要 困难 可 能 是 继续 让 用 户 参 与 到 过 程 中 。 尽 管 在 系统 开发 期 间 ， 客 户 
会 认为 派 代表 全 职 参 与 是 正当 的 ， 但 在 维护 期 间 可 能 就 不 会 这 么 认为 了 ， 全 职 参 与 的 可 能 性 极 
小 ,因为 他 们 会 认为 维护 期 间 的 变更 是 不 连续 存在 的 。 用 户 代表 们 可 能 会 对 系统 丧失 兴趣 。 因 
此 ， 这 时 可 能 就 需要 找到 一 种 替代 机 制 来 创建 新 的 系统 需求 ， 像 第 25 章 介 绍 的 变更 建议 。 

可 能 出 现 的 另 一 个 问题 是 保持 开发 团队 的 持续 性 。 人 敏捷 方法 依赖 团队 成 员 理解 系统 的 各 个 
方面 ， 因 为 没有 参考 文档 可 循 。 如 果 一 个 敏捷 开发 团队 解散 了 ， 这 种 隐 性 的 知识 就 丢失 了 ， 这 
样 ， 一 个 新 的 团队 很 难 对 系统 及 其 组 件 有 相同 的 理解 。 

敏捷 方法 的 支持 者 们 热衷 于 促进 对 这 些 方法 的 使 用 而 忽视 了 它们 的 缺点 。 这 也 引发 了 同样 
极端 的 响应 ， 从 作者 个 人 观点 看 ， 这 就 是 夸大 了 该 方法 所 存在 的 问题 ( Stephens 和 Rosenberg, 
2003) 。 更 理性 的 批评 可 见 DeMarco 和 Boehm (DeMarco 和 Boehm，2002)， 突 出 了 敏捷 方法 的 优 
点 和 缺点 。 他 们 提出 一 种 混成 方法 ， 即 敏捷 方法 蔡 人 来 自 计 划 驱 动 式 开发 的 某 些 技术 ， 这 将 是 今 
后 最 为 有 效 的 做 法 。 


3.2 计划 驱动 开发 和 敏捷 开发 


软件 开发 的 敏捷 方法 认为 设计 和 实现 是 软件 过 程 的 核心 活动 。 敏 捷 方法 将 其 他 的 活动 ， 如 
需求 的 导出 和 测试 ， 合 并 到 设计 和 实现 活动 中 。 相 对 而 言 ， 软 件 工程 的 计划 驱动 方法 ， 识 别 软件 
过 程 中 的 每 个 阶段 及 其 相关 输出 。 前 一 个 阶段 的 输出 作为 规划 接 下 来 的 过 程 活动 的 基础 。 图 3-2 
所 示 的 是 ， 对 于 系统 描述 ， 计 划 驱 动 和 敏捷 方法 之 间 的 不 同 。 
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基于 计划 的 开发 





设计 和 实现 ) 


需求 变更 请 求 


32 计划 驱动 和 敏捷 描述 


在 计划 驱动 的 方法 中 ， 和 迭代 发 生 在 各 个 活动 之 中 ， 用 正式 文件 在 软件 过 程 的 各 个 阶段 之 间 
进行 沟通 。 例 如 ， 需 求 将 演化 ， 最 终 ， 将 产生 一 个 需求 描述 。 这 又 作为 设计 和 实现 过 程 的 输入 信 
息 。 在 敏捷 方法 中 ， 迁 代 发 生 在 所 有 活动 之 间 。 因 此 需求 和 设计 是 一 起 开发 的 ， 而 不 是 单独 进 
行 的 。 

计划 驱动 的 软件 过 程 可 以 支持 增 量 式 开发 和 交付 。 分 配 需求 并 将 设计 和 开发 阶段 计划 为 一 
系列 的 增 量 是 完全 可 行 的 。 敏 捷 过 程 并 非 一 定 是 围绕 代码 这 个 焦点 的 ， 它 也 可 以 产生 一 些 设计 
文档 。 正 如 在 下 节 中 介绍 的 ， 敏 捷 开 发 团队 可 能 决定 去 完成 一 个 文档 的 “spike” ， 团 队 生产 出 一 
个 系统 文档 ， 而 不 是 生产 出 一 个 新 版 本 系统 。 实 际 上 ， 大 多 数 的 软件 工程 都 包括 计划 驱动 的 开发 
和 敏捷 开发 的 实践 。 为 了 在 计划 驱动 和 敏捷 方法 之 间 得 到 平衡 ， 你 必须 回答 以 下 一 些 技术 的 、 人 
员 的 和 机 构 方面 的 问题 : 

1. 在 实现 开始 之 前 ， 有 非常 详细 的 描述 和 设计 很 重要 么 ? 假如 是 ， 你 可 能 需要 用 计划 驱动 
的 方法 。 

2. 增 量 交付 策略 ， 即 软件 交付 给 用 户 并 快速 地 取得 反馈 ， 切 实 么 ? 假如 是 ,考虑 使 用 敏捷 
方法 。 

3. 开发 的 系统 有 多 大 ? 敏捷 方法 对 于 小 的 、 处 于 同一 地 点 的 开发 团队 来 说 大 多 是 有 效 的 ， 
这 种 团队 的 交流 往往 是 非 正 式 的。 可 能 不 适 于 需要 大 的 开发 团队 的 大 型 系统 ， 这 种 系统 可 能 要 
用 计划 驱动 的 方法 。 

4. 开发 的 系统 类 型 是 什么 ? 实施 之 前 需要 大 量 的 分 析 的 系统 (如 有 复杂 时 序 需求 的 实时 系 
统 ) ,通常 需要 相当 详细 的 设计 来 实现 这 些 分 析 。 这 种 情况 下 ， 计 划 了 驱动 的 方法 可 能 是 最 好 的 。 

5. 预想 的 系统 寿命 是 多 长 ?长 寿命 的 系统 可 能 需要 通过 更 多 的 设计 文档 来 交流 系统 开发 者 
的 最 初 意向 ， 以 支持 团队 工作 。 然 而 ， 敏 捷 方 法 的 支持 者 们 说 文档 通常 不 能 及 时 更 新 ， 且 在 长 期 
的 系统 维护 中 不 经 常用 到 。 

6. 有 什么 样 的 技术 来 支持 系统 开发 ? 敏捷 方法 通常 依赖 于 好 的 工具 ， 以 跟踪 设计 进化 。 假 
如 你 于 系统 开发 中 使 用 IDE， 而 又 没有 好 的 可 视 化 编程 和 开发 工具 ， 就 可 能 需要 更 多 的 设计 
文档 。 

7. 开发 团队 是 怎么 组 织 的 ?如 果 开 发 团队 是 分 散 的 或 一 部 分 的 开发 是 外 包 的 ， 你 可 能 就 需 
要 开发 设计 文档 ， 以 在 开发 田 队 之 间 进 行 沟 通 。 你 可 能 就 需要 提前 做 计划 。 

8. 有 没有 可 能 影响 系统 开发 的 文化 问题 ? 传统 的 工程 机 构 有 计划 驱动 开发 的 文化 ， 这 是 一 
个 工程 规范 。 这 通常 需要 额外 的 设计 文档 ， 而 不 是 在 敏捷 过 程 中 非 正式 的 信息 。 

9. 开发 团队 的 设计 人 员 和 编码 人 员 的 能 力 如 何 ? 有 时 敏捷 方法 需要 有 比 计划 驱动 的 方法 更 
高 的 技术 水 平 ， 计 划 驱 动 的 方法 中 编程 人 员 可 以 简单 地 将 一 个 详细 的 设计 转化 成 代码 。 假 如 你 
的 团队 水 平 相对 较 低 ， 你 可 能 需要 用 最 好 的 人 员 设计 开发 ， 其 他 人 负责 编程 。 

10. 系统 是 否 受制 于 外 部 的 法 规 ? 假如 系统 有 其 他 外 部 的 法 规 限 制 〈 如 联邦 航空 管理 局 FAA 
核准 一 个 安全 性 要 求 极 高 的 航空 操作 软件 ) ， 你 可 能 需要 有 详细 的 文档 ， 作 为 系统 安全 案例 的 一 
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部 分 。 

实际 上 ， 一 个 项 目 是 否 可 以 被 划 为 计划 驱动 的 或 敏捷 开发 的 问题 并 不 是 很 重要 。 最 终 ， 软 件 
系统 的 购买 者 主要 关注 的 是 这 个 可 执行 软件 是 否 能 满足 他 们 的 需求 ， 是 否 对 个 人 用 户 或 机 构 有 
用 。 在 实践 中 ， 许 多 声称 使 用 了 敏捷 方法 的 公司 接受 了 某 些 敏捷 实践 ， 并 将 它们 和 计划 驱动 的 过 
程 集成 在 一 起 。 


3.3 极限 编程 


极限 编程 (XP) 也 许 是 最 为 熟知 也 是 流行 最 广 的 一 种 敏捷 方法 。 其 名 字 是 由 Beck (Beck, 
2000) 所 创造 的 ， 因 为 该 方法 是 推行 公认 的 好 的 经 验 ， 例 如 迭代 式 开发 ， 到 一 个 “极限 ”水 平 。 
比如 ,在 XP 中 ,系统 的 多 个 新 版 本 可 能 由 不 同 的 程序 员 实 现 并 集成 和 测试 ， 在 一 天 内 完成 。 

在 极限 编程 中 ， 所 有 的 需求 都 表示 为 脚本 ( 称 为 用 户 故 事情 节 ) ， 它 将 被 直接 实现 为 一 系 
列 任务 。 程 序 员 两 两 配对 工作 ， 在 写 代码 之 前 为 每 个 任务 开发 测试 。 在 新 的 代码 加 入 到 系统 中 
时 ， 所 有 的 测试 必须 成 功 执行 。 图 3-3 说 明了 一 个 XP 过 程 ， 它 产生 了 正在 开发 的 系统 的 一 个 


增 量 。 
为 此 版 本 选择 将 故事 情节 ; 
用 户 故事 情节 | 分 解 成 任务 / 规划 版 本 


C / 


图 3-3 极限 编程 的 版 本 循环 


极限 编程 包含 多 个 实践 ， 图 3-4 给 出 了 一 个 摘要 ， 这 些 反映 了 敏捷 方法 的 一 些 原则 ; 

1. 增 量 式 开发 是 通过 系统 小 的 频繁 的 版 本 来 支持 的 ， 其 间 所 采用 的 对 需求 描述 的 方法 是 基 
于 客户 故事 情节 或 脚本 ， 这 样 的 故事 情节 或 脚本 作为 决策 哪些 功能 需要 放 在 增 量 里 的 根据 。 

2. 客户 的 参与 是 采用 全 时 雇佣 到 开发 团队 的 方式 。 客 户 代表 参与 开发 并 负责 定义 系统 的 接 


















收 测试 。 

3 人， 而 不 是 过 程 ， 是 通过 结对 编程 、 对 系统 代码 的 集体 拥有 、 可 持续 的 开发 过 程 而 无 需 
超额 的 工作 时 间 来 运作 的 。 

4. 对 变更 的 支持 是 通过 经 常 性 的 系统 版 本 发 布 、 测 试 优先 开发 、 重 构 以 避免 代码 退化 以 及 
连续 的 集成 新 功能 等 方法 实现 的 。 

5. 对 简单 性 的 维护 是 通过 持续 的 重 构 来 改善 代码 质量 、 使 用 简单 的 设计 以 减少 系统 将 来 的 
变更 等 方式 来 支持 的 。 


TE XP 过程 中 ， 客 户 亲密 地 投入 到 系统 需求 的 定义 和 优先 权 排 序 工 作 中 。 需 求 不 是 定义 为 所 
要 求 的 系统 功能 的 列表 。 系 统 客户 是 开发 团队 的 一 分 子 ， 与 其 他 团队 成 员 一 起 讨论 和 脚本。 同时 ， 
他 们 用 一 个 所 谓 的 “脚本 卡 ”封装 客户 需要 。 然 后 开发 团队 有 瞄准 这 个 目标 在 软件 的 将 来 版 本 中 
实现 这 个 脚本 。 心 理 健康 病人 管理 系统 的 脚本 卡 例子 如 图 3-5 所 示 ， 这 是 给 病人 开 处 方药 的 场景 
的 简短 描述 。 





O 这 里 “脚本 ”对 应 的 英文 单词 是 scenario， 有 些 译 者 将 该 词 译 为 “场景 ”或 “情景 "， 本 译 稿 中 根据 上 下 文 语 境 
三 种 译 法 都 有 采用 。 一 一 译 者 注 
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描 x 


需求 记录 在 脚本 卡片 上 ， 包 含 在 版 本 中 的 故事 铺 节 可 以 决定 可 用 的 时 间 和 它们 的 相对 
优先 级 。 开 发 者 将 这 些 脚本 分 解 为 开发 的 “任务 ”"。 参 见 图 3-5 和 图 3-6 


首先 开发 能 提供 业务 价值 的 一 个 最 小 有 用 和 集合。 不 断 地 增 量 式 地 往 第 一 个 版 本 中 添加 
功能 形成 新 的 系统 版 本 


只 进行 有 限 的 能 满足 当前 需求 的 设计 ， 不 追求 太 多 
在 功能 本 身 实 现 之 前 ， 采 用 一 个 自动 单元 测试 框架 来 编写 对 此 新 功能 的 测试 
期 待 所 有 的 开发 人 员 都 能 连续 地 对 代码 重 构 ， 只 要 是 发 现 有 可 能 改善 的 代码 就 去 做 ， 


原则 或 实践 
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简单 设计 
测试 优先 的 开发 





































重 构 这 样 能 保持 代码 简单 性 和 可 维护 性 
结对 编程 开发 人 员 成 对 工作 ， 检 查 彼此 的 工作 并 提供 支持 圆满 完成 任务 
集体 所 有 配对 的 开发 人 员 参 与 系统 的 所 有 方面 的 工作 ， 所 以 不 会 存在 技术 孤岛 ， 所 有 的 开发 者 
都 享有 代码 。 任 何人 都 可 以 修改 任何 地 方 
任务 一 完成 ， 将 它 集成 到 大 系统 中 。 在 每 次 这 样 的 集成 后 ， 必 须 通过 系统 中 所 有 的 间 
连续 集成 X E 
可 持续 的 节奏 大 量 超时 是 不 能 接受 的 ， 因 为 它 的 后 果 通常 就 是 降低 代码 质量 和 平均 生产 率 
"m 系统 最 终 用 户 的 代表 (EP) 应 该 全 程 配合 XP 团队 。 在 极限 编程 过 程 中 ， 窑 户 是 开 


发 团队 的 一 分 子 ， 有 责任 将 系统 需求 带 给 开发 团队 
图 3-4 极限 编程 实践 








开 处 方 


凯特 是 一 位 医生 ， 她 要 为 来 诊所 的 病人 开 处 方药 。 病 人 记录 已 经 显示 在 她 的 电脑 上 了 ， 因 此 她 点 击 药物 栏 
可 以 选择 “当前 药物 "、“ 新 药 ”或 “药典 "。 

假如 她 选择 “当前 药物 ” ， 系 统 会 询问 她 药 量 。 假 如 她 想 更 改 ， 就 要 键 人 确认 ， 然 后 确认 处 方 。 

假如 她 选择 “新 药 ”， 系 统 假设 她 知道 要 开 那 种 药 。 她 要 键 人 药品 名 称 的 首 字母 。 系 统 就 会 显示 可 能 的 药品 
列表 。 她 选择 需要 的 药品 ， 系 统 响应 会 询问 她 选择 的 是 否 正确 。 她 键 人 确认 并 确认 处 方 。 

假如 她 选择 “药典 " ， 系 统 会 显示 搜索 框 ， 搜 索 已 存在 的 药典 。 她 可 以 搜索 需要 的 药品 。 她 选择 一 种 药品 ， 
系统 会 询 癌 她 选择 的 是 否 正确 。 她 键 人 确认 并 确认 处 方 。 

系统 通常 会 确认 剂量 是 否 在 允许 范围 内 。 假 如 不 是 ， 凯 特 就 会 改变 已 做 的 。 

凯特 确认 处 方 之 后 ， 处 方 将 显示 出 来 以 便 确 认 。 她 可 以 点 击 “确认 ”或 “变更 *。 假 如 她 点 击 “确认 ”， 处 
方 将 会 被 记录 在 已 审计 数据 库 中 。 假 如 点 击 “ 变 更 ”， 她 将 重新 键入 “ 开 处 方 ”过 程 。 








图 3-5 开 处 方 的 脚本 


脚本 卡 是 XP 规划 过 程 或 “规划 游戏 ”的 主要 输入 。 一 旦 脚本 卡 做 出 来 ， 开 发 团队 就 把 每 个 
脚本 拆 分 成 任务 〈 见 图 3-6) 并 估计 实现 时 所 需要 的 人 力 和 资源 。 这 通常 要 与 客户 讨论 ， 重 新 定 
义 需 求 。 客 户 然后 对 脚本 进行 优先 权 排序 以 便 实 现 ， 选 择 那些 马上 能 使 用 到 的 脚本 尽快 交付 可 
用 的 业务 支持 。 意 图 是 识别 出 那些 可 在 两 周 内 实现 的 有 用 的 一 些 功 能 特性 ， 当 下 一 个 版 本 发 布 
时 即 可 被 用 户 使 用 。 

当然 ， 在 需求 发 生变 化 的 时 候 ， 未 实现 的 脚本 发 生 改 变 或 者 被 忽视 掉 。 如 果 需 要 对 已 经 交付 
的 系统 进行 变更 ， 要 制作 出 新 的 脚本 卡 ， 而 且 客户 需要 重新 决定 是 否 这 些 改变 应 该 有 比 新 功能 
更 高 的 优先 级 。 

有 时 ， 在 规划 过 程 中 ， 暴 露出 的 问题 是 不 好 解决 的 ， 需 要 额外 的 工作 探求 可 能 的 解决 方案 。 
该 团队 可 进行 一 些 原型 或 尝试 性 开发 以 了 解 问题 和 解决 策略 。 在 XP 术语 中 ， 这 是 -- 个 spike, £ 
一 个 无 需 编程 的 增 量 。 可 能 也 有 设计 系统 构架 或 开发 系统 文档 的 spikes。 

极限 编程 将 增 量 式 开发 推 向 极致 。 新 的 软件 版 本 一 天 之 中 要 构造 好 多 次 ， 移 交 给 客户 的 增 
莉 大 约 是 每 两 周一 次 。 从 不 拖延 发 布 的 截止 日 期 ; 如 果 有 开发 问题 ， 将 咨询 顾 寄 ， 并 将 功能 从 计 
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划 发 布 的 版 本 中 移 除 。 






任务 1. 变更 处 方药 的 剂量 
任务 2: 药典 选择 
任务 3: 剂量 检查 


剂量 检查 是 一 个 安全 预防 措施 ， 以 检查 医 
生 开 有 具 的 处 方 没有 出 现 危 险 ， 偏 大 或 偏 小 而 超 
出 剂量 范围 。 

用 药典 ID 去 选择 通用 的 药品 名 称 ， 查 看 
药典 并 检索 建议 的 最 大 和 最 小 剂量 。 

确认 处 方剂 量 在 最 大 和 最 小 范围 内 。 假 如 
超出 这 个 范围 ， 提 示 出 错 信息 ， 并 指出 剂量 是 
偏 大 了 还 是 偏 小 了 。 假如 在 这 个 范围 内 ， 将 
“确认 ”按钮 变 成 可 用 。 












图 3-6 ” 开 处 方 的 任务 卡 


当 程 序 员 创建 出 新 的 版 本 ， 他 /她 必须 运行 所 有 现存 的 自动 化 测试 以 及 对 新 功能 的 测试 。 只 
有 当 所 有 测试 都 成 功 执行 之 后 软件 的 新 版 本 才 是 可 接受 的 。 这 将 成 为 系统 下 一 个 迭代 的 基础 。 

传统 软件 工程 的 基本 训诫 是 你 必须 为 变更 而 设计 。 也 就 是 说 ， 你 应 该 预见 到 软件 未 来 的 变 
更 ,面向 变更 地 设计 软件 以 便 这 些 变 更 能 很 容易 地 实现 。 然 而 ,极限 编程 抛弃 这 个 做 法 ,这 是 基 
于 这 样 一 种 认识 ， 即 为 变更 而 设计 通常 是 很 浪费 人 力 的 。 所 预见 的 变更 通常 不 能 变 成 事实 ， 而 完 
全 不 同 的 变更 请 求 却 总 是 层出不穷 。 因 此 ，XP 接受 即将 发 生 的 变更 ， 并 在 变更 确实 发 生 时 重组 
软件 。 

增 量 开 发 的 一 个 普遍 问题 是 ， 它 有 使 软件 结构 变 坏 的 趋势 ， 所 以 变更 越 来 越 难以 实现 。 本 质 
上 ， 程 序 员 总 是 在 想方设法 找到 一 个 变通 方法 以 解决 问题 ， 代 码 经 常 重复 ， 部 分 软件 不 恰当 地 使 
用 ， 代 码 添加 到 系统 中 使 整体 结构 变 坏 。 

极限 编程 对 此 问题 的 解决 是 通过 对 软件 的 不 断 重 构 。 这 意味 着 编程 团队 对 软件 查找 可 能 的 
改善 并 马上 实现 它 。 当 一 个 团队 成 员 发 现代 码 可 改进 ， 即 使 在 没有 紧急 需要 的 情况 下 ， 他 们 也 会 
改进 它 。 重 构 的 例子 包括 : 类 的 层次 结构 重组 以 消除 重复 代码 ， 整 理 和 重 命名 属性 和 方法 ， 调 用 
程序 库 中 的 方法 替换 代码 。 程 序 开发 环境 ， 比 如 Eclipse ( Carlson，2005 ) ， 包 括 重 构 的 工具 ， 可 
以 简化 寻找 代码 不 同 部 分 间 的 依存 关系 并 进行 全 局 代码 修改 。 

原则 上 ， 当 新 的 脚本 卡 实现 时 软件 应 该 总 是 做 到 容易 被 理解 且 容 易 进 行 变更 。 但 在 实践 中 ， 
这 通常 不 成 立 。 有 时 ， 开 发 压力 使 得 程序 不 能 马上 进行 重 构 ， 因 为 大 家 需要 马上 完成 某 些 新 功 
能 。 很 多 新 特性 和 变更 不 能 够 及 时 通过 代码 级 的 重 构 反 映 出 来 ， 这 就 需要 系统 架构 进行 修改 。 

在 实践 中 ,许多 采用 XP 的 公司 并 没有 采用 所 有 的 图 3-4 列 出 的 极限 编程 实践 。 他 们 只 选择 
适合 他 们 自己 的 工作 方法 。 比 如 ， 有 些 公司 发 现 结对 编程 是 有 用 的 ， 其 他 的 公司 则 喜欢 个 人 编 
程 ， 然 后 检查 。 为 了 适应 不 同 的 技术 水 平 ， 一 些 程序 员 对 系统 中 不 是 他 们 开发 的 部 分 不 进行 重 
构 ， 他 们 会 使 用 常规 的 需求 ， 而 非 用户 的 脚本 卡 。 


3. 3.1 极限 编程 中 的 测试 


如 本 章 引 言 部 分 所 讨论 过 的 ， 在 增 量 开发 和 计划 驱动 的 开发 之 间 的 重要 区 别 就 在 于 系统 测 
试 的 方式 不 同 。 在 增 量 开发 中 ， 没 有 系统 描述 可 以 被 外 部 的 测试 团队 用 来 制作 系统 测试 。 由 于 这 
个 原因 ， 和 计划 驱动 的 测试 相 比 ， 很 多 增 量 开发 方法 的 测试 过 程 是 很 不 规范 的 。 

为 了 避免 一 些 测试 和 系统 验证 方面 的 问题 ，XP 方法 更 加 强调 测试 过 程 。 系 统 测试 是 XP Jr 
法 的 核心 内 容 ， 为 此 引入 了 一 个 方法 来 降低 由 于 新 系统 增 量 而 带 人 系统 新 的 错误 的 可 能 性 。 


第 3 章 敏捷 软件 开发 


XP 当中 的 测试 的 关键 特性 如 下 : 

1. 测试 优先 的 开发 ; 

2. 来 自 脚本 的 增 量 式 测试 开发 ; 

3. 用 户 参 与 测试 开发 和 有 效 性 验证 ; 

4. 自动 测试 系统 的 使 用 。 

测试 优先 的 开发 是 XP 的 最 为 重要 的 创新 之 一 。 不 同 于 先 写 代 码 ， 然 后 为 这 些 代码 写 相应 的 
测试 程序 ，XP 是 先 写 测试 程序 ， 再 写 代 码 的 。 这 就 意味 着 ， 在 写 程 序 的 同时 你 可 以 运行 测试 代 
码 ， 以 便 在 开发 过 程 中 及 时 发 现 问题 。 

先 写 测试 隐 含 地 定义 了 界面 和 要 开发 的 功能 的 行为 描述 。 减 少 了 对 需求 和 界面 的 误解 。 对 
于 任何 在 系统 需求 和 实现 该 需求 的 代码 之 间 有 明确 关系 的 过 程 中 都 可 以 采用 此 方法 。 在 XP 中 ， 
你 总 可 以 看 到 这 个 关联 ， 这 是 因为 表述 需求 的 脚本 卡 被 分 解 为 一 些 任务 ， 而 任务 是 实现 的 主要 
单元 。 在 XP 中 采用 测试 优先 的 开发 使 更 多 测试 驱动 一 般 技 术 应 用 于 开发 (Astels，2003) 。 第 8 
章 将 介绍 这 些 主题 。 

在 测试 优先 开发 中 ， 实 现任 务 的 人 必须 彻底 理解 描述 ， 这 样 他 们 才能 为 系统 编写 测试 。 这 意 
味 着 在 描述 中 的 二 义 性 和 遗漏 必须 在 实现 开始 之 前 得 以 澄清 。 进 一 步 ， 它 还 避免 所 谓 的 “test - 
lag” 问 题 。 这 可 能 导致 系统 开发 人 员工 作 进 度 快 于 测试 人 员 ， 使 得 实现 比 测试 越 来 越 超前 ， 产 
生 了 一 种 跳 过 测试 过 程 以 保持 进度 要 求 的 倾向 ， 使 得 开发 日 程 表 不 变 。 

fr XP 中 的 用 户 需 求 表达 为 脚本 或 故事 情节 ， 用 户 再 对 需求 进行 优先 权 排 序 以 进行 开发 。 开 
发 团队 评估 每 一 个 脚本 并 将 其 分 解 为 任务 。 例 如 ， 处 方药 〈 见 图 3-5) 的 脚本 卡 所 导出 的 任务 卡 
如 图 3-6 所 示 。 每 一 个 任务 生成 一 个 或 多 个 单元 测试 来 检查 此 任务 中 所 描述 的 实现 。 例 如 ， 图 327 
是 一 个 测试 用 例 的 简短 描述 ， 该 用 例 是 用 来 检查 药物 剂量 是 否 超出 了 安全 范围 。 








测试 4: 剂量 检测 








输入 : 

l. LA mg 为 单位 的 一 个 数 ， 表 示 单 次 服药 剂量 。 

2. 一 个 数 ， 表 示 每 天 服药 的 次 数 。 

测试 : 

1. 输入 测试 ， 这 里 的 单 次 服药 剂量 是 正确 的 ， 但 服药 的 次 数 太 多 。 
2. 输入 测试 ， 这 里 单 次 服药 剂量 太 大 或 太 小 。 

3. 输入 测试 ， 这 里 单 次 服药 剂量 x 服药 次 数 太 大 或 太 小 。 

4. 输入 测试 ， 这 里 单 次 服药 剂量 x 服药 次 数 在 允许 范围 内 。 
输出 : 

显示 正确 或 错误 信息 ， 指 示 剂量 在 正常 范围 或 超出 安全 范围 。 





图 3-7 剂量 检测 的 测试 用 例 描 述 


在 测试 过 程 中 用 户 的 作用 是 : 将 要 在 系统 的 下 一 个 版 本 中 实现 的 故事 情节 开发 接收 测试 。 
如 第 8 章 中 所 讨论 的 那样 ， 接 收 测试 是 系统 用 客户 数据 来 进行 测试 、 看 它 是 否 满足 了 客户 的 真正 
需要 的 过 程 。 

在 XP 中 ,接收 测试 就 像 开发 一 样 ， 是 一 个 增 量 式 的 。 当 开发 继续 进行 时 ， 作 为 团队 -部 分 
的 用 户 进行 测试 。 因此， 所 有 的 代码 都 是 经 过 验证 的 ， 确 保 是 满足 顾 容 需要 的 。 图 3-5 中 的 脚本 
卡 ， 接 收 测试 将 涉及 以 下 情景 a) 改变 药物 的 剂量 ，b) 选择 新 药 ，e) 使 用 药典 去 发 现 菜 一 药 
物 。 在 实践 中 ， 通 常 需要 进行 一 系列 的 接收 测试 ， 而 不 是 单个 测试 。 

依赖 于 客户 来 支持 接收 测试 的 模式 有 时 是 XP 测试 过 程 中 的 主要 困难 。 接 受 客户 角色 的 人 可 
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能 只 有 非常 有 限 的 时 间 ， 不 大 可 能 以 全 时 方式 与 开发 团队 一 起 工作 。 客 户 可 能 感觉 提供 了 需求 
已 经 尽 到 了 义务 ， 不 太 情 愿 投入 到 测试 过 程 当中 。 

测试 优先 的 开发 和 自动 测试 系统 的 使 用 是 XP 方法 的 主要 优势 。 在 任务 实现 之 前 就 将 测试 写 
成 了 可 执行 的 组 件 。 这 个 测试 组 件 应 该 是 独立 的 ， 应 该 模拟 待 测试 的 输入 提交 ， 而 且 应 该 检查 结 
果 满 足 了 输出 描述 。 自 动 测试 框架 是 这 样 的 一 个 系统 ， 它 使 编写 可 执行 测试 程序 和 提交 测试 集 
变 得 很 容易 。JUnit (Massol 和 Husted，2003) 就 是 一 个 被 广泛 应 用 的 自动 测试 框架 的 例子 。 

由 于 测试 是 自动 的 ， 我 们 就 总 会 有 一 个 能 快速 且 容易 执行 的 测试 集合 。 这 意味 着 无 论 什 么 
时 候 有 功能 添加 进来 ， 测 试 都 可 以 执行 ， 由 新 代码 所 引入 的 问题 能 够 马上 被 查 出 来 。 

测试 优先 的 开发 和 自动 测试 通常 导致 要 编写 和 执行 大 量 的 测试 程序 。 然 而 ， 这 种 方法 并 不 
一 定 使 程序 得 到 彻底 的 测试 。 有 以 下 3 个 原因 : 

1. 程序 员 更 喜欢 编程 而 不 是 测试 ， 有 时 在 写 测 试 时 会 走 捷径 。 例 如 ， 与 出 不 完整 的 测试 天 
法 检查 所 有 可 能 的 异常 情况 。 

2. 有 一 些 测试 是 非常 难 写 的 。 例 如 ， 在 复杂 用 户 界面 中 ,通常 编写 用 于 实现 “显示 人 逻辑 ” 
和 屏幕 间 工 作 流 的 单元 测试 是 十 分 困难 的 。 

3. 对 一 组 测试 的 完整 性 的 判断 也 是 困难 的 。 尽 管 你 可 以 有 很 多 系统 测试 ， 你 的 测试 集合 可 
能 不 能 提供 完整 的 覆盖 。 系 统 的 关键 部 分 可 能 得 不 到 执行 ， 所 以 也 就 是 没有 经 过 测试 的 。 

因此 ,虽然 大 量 是 频繁 的 执行 测试 集 可 能 会 让 你 觉得 系统 是 完整 和 正确 的 ， 但 事实 未 必 如 
此 。 如 果 开 发 完成 后 没有 进行 测试 复查 和 进一步 地 编写 测试 程序 ， 则 未 被 发 现 的 错误 将 可 能 在 
系统 交付 中 出 现 。 


3.3.2 结对 编程 


XP 中 另 一 个 有 创新 性 的 实践 是 程序 员 结 对 开发 软件 。 他 们 坐 在 同一 个 工作 台 前 开发 软件 。 
但 并 不 总 是 同一 对 程序 员 在 一 起 工作 ， 而 是 会 轮流 交替 地 两 两 结对 编程 ， 这 种 结对 是 动态 变化 
的 ， 这 样 整个 团队 成 员 就 有 机 会 在 整个 开发 过 程 中 与 其 他 成 员 一 起 工作 。 

REA 下列 一 些 优点 ， 

它 支 持 共同 拥有 软件 和 共同 对 系统 负责 。 这 反映 了 Weinberg 的 非 自我 的 程序 设计 理念 
(menhog，1971)， 即 软件 完全 由 团队 只 # 同 所 有 ， 个 人 不 对 代码 中 所 出 现 的 问题 负责 、 相 反 ， 团 
队 要 对 解决 这 些 问 题 全 体 负责 

2. 它 担 当 了 非 正式 的 复查 过 程 ， 因 为 每 一 行 代码 至 少 经 过 了 两 个 人 的 批阅 。 代 码 检查 和 复 
E (ER 24 章 中 介绍 ) 对 于 发 现 绝 大 多 数 软件 错误 是 非常 成 功 的 。 然 而 ， 结 对 编程 的 磨合 是 需 
要 时 间 的 ， 特 别 是 会 带 来 开发 过 程 的 延长 。 结 对 编程 是 一 种 不 太 正规 的 过 程 ， 无 法 发 现 太 多 的 错 
误 ， 对 比 正 规程 序 检查 过 程 来 说 它 是 一 种 更 加 便宜 的 检查 过 程 。 

3 它 有 助 于 支持 重 构 ， 这 是 一 个 软件 改善 的 过 程 。 在 正规 开发 环境 中 实现 结对 编程 的 困难 
在 于 这 种 投入 是 一 种 长 期 回报 ， 对 于 单个 成 员 来 说 ， 执 行 重 构 任 务 的 人 会 被 视 为 比 只 负责 进行 
编程 的 程序 员 效 率 要 低 。 而 结对 编程 和 集体 所 有 的 做 法 ， 使 得 其 他 成 员 马 上 就 能 从 重 构 中 受益 ， 
所 以 他 们 比较 乐意 支持 这 个 过 程 。 

有 人 可 能 认为 结对 编程 效率 会 比较 低 ， 也 许 只 有 单独 编程 时 的 一 半 。 而 研究 表明 ， 事 实 并 非 
如 此 。 结 对 编程 的 生产 率 与 单个 人 编程 的 生产 率 是 相当 的 (CockBum 和 Williams, 2001; Wil- 
liams 等 ，2000) 。 其 原因 是 两 个 人 在 开发 之 前 对 软件 的 讨论 会 减少 错误 的 发 生 和 减少 返工 ， 由 非 
正规 的 检查 所 避免 的 错误 数量 减少 了 因 在 测试 阶段 发 现 缺 陷 而 进行 修改 的 时 间 。 

然而 ， 对 更 有 经 验 的 程序 员 ( Arisholm 等 ，2007; Parrish 等 ，2004) 的 研究 结果 却 并 不 是 这 
样 。 他 们 发 现 ， 与 两 个 程序 员 单 独 工 作 相 比 ， 生 产 力 损失 了 很 多 。 结 对 编程 是 有 一 些 质 量 效益 ， 
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但 却 不 足以 抵消 它 的 开销 。 但 信息 的 共享 在 结对 编程 时 是 很 重要 的 ， 因 为 当 有 团队 成 员 离 开 时 ， 
它 降低 了 项 目的 整体 风险 。 就 其 本 身 来 说 ,这 可 能 就 是 结对 编程 的 价值 所 在 。 


3.4 敏捷 项 目 管理 

项 目 经 理 的 基本 职责 是 管理 项 目 ， 以 确保 软件 在 预算 范围 内 按时 交付 。 他 们 监督 软件 工程 
师 的 工作 ， 并 检测 软件 开发 的 进展 。 

项 目 管理 的 标准 方法 是 计划 驱动 的 。 如 第 23 章 中 将 介绍 的 ， 经 理 制定 一 个 计划 ， 包 括 该 交 
付 什么 ， 什 么 时 候 交 付 及 谁 来 完成 交付 。 一 个 计划 驱动 的 方法 要 求 经 理 对 于 每 件 事情 都 有 一 个 
稳定 的 看 法 ， 包 括 必须 开发 什么 和 开发 进度 。 但 是 ， 这 不 适 于 敏捷 方法 ， 敏 捷 方 法 的 需求 开发 是 
增 量 式 的 ， 短 期 内 快速 地 交付 增 量 ， 经 常 有 需求 和 软件 的 变更 。 

像 其 他 专业 软件 开发 过 程 一 样 ， 对 敏捷 开发 必须 加 以 管理 ， 以 便 更 好 地 利用 时 间 和 对 团队 
有 价值 的 资源 。 这 需要 一 种 适合 于 增 量 开 发 〈 特 别 是 敏捷 方法 的 ) 、 不 一 样 的 管理 方法 。 

Serum 方法 (Schwaber, 2004; Schwaber 和 Beedle, 2001) 是 一 个 通用 的 敏捷 方法 ， 但 它 主 
要 是 注重 迭代 开发 的 管理 ， 而 不 是 管理 敏捷 软件 工程 的 专门 的 技术 方法 。 图 3-8 是 Scrum 的 管理 
过 程 图 。Scrum 没有 规定 要 使 用 的 编程 实践 方法 ， 如 配对 编程 和 测试 优先 的 开发 。 因 此 ， 它 可 用 
于 更 多 的 敏捷 方法 如 XP， 它 提供 了 一 个 项 目 管理 的 框架 。 


概要 规划 和 
体系 结构 设计 





冲刺 循环 


3-8 Scrum 过 程 


Serum 有 3 个 阶段 。 第 一 个 是 规划 纲要 阶段 ， 建 立 大 致 的 项 目 目 标 和 设计 软件 体系 结构 。 接 
下 来 是 一 系列 的 冲刺 循环 ， 每 个 循环 开发 出 一 个 系统 增 量 。 最 后 ， 项 目 结束 阶段 总 结 项 目 ， 完 善 
需要 的 文档 ， 如 系统 帮助 和 用 户 手册 ， 并 总 结 从 项 目 中 学 到 的 经 验 。 

Serum 的 创新 在 于 它 的 中 心 阶段 ， 也 就 是 冲刺 循环 。 一 个 循环 是 一 个 计划 单元 ， 需 要 做 的 工 
作 有 : 评 佑 ， 特 征 的 选择 和 开发 ， 软 件 实现 。 循 环 的 最 后 一 个 阶段 ， 所 开发 的 全 部 功能 都 将 交付 
给 信息 持 有 者 。 这 个 过 程 的 主要 特点 如 下 : 

L 冲刺 有 一 个 固定 的 长 度 ， 一 般 是 2 -4 JH. YE XP 中 ， 对 应 于 一 个 系统 版 本 的 开发 

2. 规划 的 起 点 是 所 谓 的 backlog (积压 的 任务 ) ， 是 项 目 中 要 完成 的 工作 清单 。 在 评估 阶段 ， 
这 些 积压 的 任务 经 过 审查 ， 对 它们 进行 优先 级 排序 并 进行 风险 的 指派 。 此 过 程 中 ， 用 户 都 紧密 地 
参与 ， 在 每 一 个 循环 开始 时 提出 新 的 需求 或 任务 的 建议 。 

3. 在 选择 阶段 ， 项 目 团队 的 所 有 人 员 都 要 参加 ， 和 用 户 一 起 选择 在 冲刺 循环 中 要 开发 的 特 
性 和 功能 。 

^ 一 且 这 些 都 得 到 同意 ， 团 队 将 组 织 进行 软件 开发 。 每 天 ， 团 队 的 开发 成 员 都 要 参加 短 时 
会 议 ， 回 顾 开 发 过 程 ， 若 有 必要 ， 将 重新 安排 工作 。 这 个 阶段 ， 开 发 团队 是 隔离 于 客户 和 机 构 
的 ， 所 有 的 交流 都 通过 所 谓 的 “Scrum master” 进行 。Scrum master 使 开发 团队 免 受 外 界 干扰 。 工 
作 方式 取决 于 遇 到 的 问题 和 团队 。 不 像 XP, Scrum 对 于 如 何 写 需求 、 测 试 优先 开 发 等 不 做 具体 
要 求 。 但 是 ， 如 果 团 队 觉 得 合适 ， 这 些 XP 的 实践 也 可 以 用 。 
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5. 冲刺 循环 的 结束 ， 对 已 做 工作 复查 并 交付 给 用 户 。 接 着 ， 下 一 个 循环 就 开始 了 。 

Serum 背后 的 思想 是 整个 团队 被 赋予 决定 的 权利 ， 因 此 术语 “项 目 经 理 ” 被 故意 取消 了 。 
“Scrum master” 是 一 个 调解 人 ， 安 排 每 天 的 会 议 、 跟 踪 日 志 上 要 做 的 工作 、 记 录 决 定 、 衡 量 工作 
进展 情况 、 与 客户 和 团队 外 的 管理 者 进行 沟通 。 

整个 团队 必须 出 席 每 天 的 会 议 ， 有 时 是 “站 立 ” 着 开会 的 ， 以 使 其 时 间 短 且 重 点 明确 。 会 
上 ,团队 成 员 们 共享 信息 ,说 明 工 作 进 度 ， 遇 到 的 问题 及 接 下 来 一 天 的 工作 计划 。 这 就 意味 着 每 
一 个 团队 成 员 都 知道 接 下 来 干什么 ,假如 出 现 问 题 ， 也 可 以 重新 做 短期 工作 计划 。 每 个 人 参与 短 
期 计划 制订 ， 而 不 是 Scrum master 自 上 而 下 发 指令 。 

E Web 上 有 许多 Serum 成 功 运用 的 趣闻 。Rising 和 Janoff (2000) 介绍 了 其 在 电信 软件 开发 
环境 中 成 功 使 用 的 例子 ， 并 列 其 优点 如 下 : 

l. 产品 被 分 解 成 一 组 可 管理 的 和 可 被 理解 的 块 。 

2. 不 稳定 的 需求 并 不 阻碍 工程 进展 。 

3. 整个 团队 的 所 有 事情 都 是 可 见 的 ， 因 此 改善 了 团队 的 沟通 。 

4. 用 户 看 到 增 量 的 及 时 交付 ， 且 得 到 对 于 产品 如 何 工作 的 反馈 。 

5. 客户 和 开发 者 之 间 彼 此 信任 ,创造 了 积极 的 文化 ， 每 个 人 都 希望 项 目 成 功 。 

最 初 设计 时 ，Scrum 是 为 设 在 同一 地 点 的 团队 使 用 的 ， 所 有 的 团队 成 员 每 天 都 一 起 参加 “站 
立 ” 会 议 。 但 是 , 许多 软件 开发 的 团队 分 布 在 世界 的 不 同 地 方 。 因 此 ， 为 使 Scrum 适应 分 布 式 的 
开发 环境 ， 人 们 进行 了 各 种 各 样 的 实验 (Smits 和 Pshigoda, 2007; Sutherland 等 ，2007 ) 。 


3.5 可 扩展 的 敏捷 方法 


敏捷 方法 的 开发 是 为 在 同一 个 房间 办 公 与 交流 的 小 开发 团队 使 用 的 。 因 此 敏捷 常 被 用 于 中 
小 型 系统 的 开发 。 当 然 ， 快 速 发 布 软件 ， 使 之 更 贴近 用 户 的 需求 的 方法 ， 也 适用 于 大 型 系统 。 所 
以 , 现在 人 们 对 伸缩 的 敏捷 方法 (使 之 去 适应 大 部 门 开 发 大 型 系统 )， 产 生 了 极 大 的 兴趣 。 

Denning 等 (2008) 认为 避免 软件 工程 中 不 符合 客户 需求 、 预 算 超 支 等 常见 问题 的 唯一 途径 
就 是 将 敏捷 方法 运用 于 大 型 系统 。Leffingwell (2007) 讨论 将 敏捷 实践 放大 到 大 型 系统 开发 中 。 
Moore 和 Spens (2008) 报告 了 他 们 使 用 敏捷 方法 去 开发 一 个 大 型 医疗 系统 的 经 验 ， 其 中 有 300 
个 开发 人 员 ， 而 且 是 分 部 在 不 同 地 域 。 

大 型 软件 系统 开发 和 小 型 系统 开发 有 许多 不 同 : . 

1. 大 型 系统 经 常 是 由 独立 的 、 交 互 的 子 系统 组 成 。 不 同 的 团队 独立 开发 不 同 的 子 系统 。 通 
常 ， 这 些 团队 在 不 同 的 地 点 甚至 不 同 的 时 区 工作 。 让 每 一 个 团队 都 去 了 解 整个 系统 是 不 太 现 实 
的 。 所 以 ， 他 们 的 重点 通常 是 完成 他 们 自己 的 那 部 分 ， 而 不 用 太 关 心 系统 的 其 他 部 分 。 

2. 大 型 系统 是 “brownfield systems" (Hopkins and Jenkins, 2008); 也 就 是 说 他 们 包含 了 一 系 
列 的 已 存在 的 系统 并 与 它们 进行 交互 。 许 多 系统 需求 关注 这 种 交互 ， 因 此 不 是 真 的 适应 于 灵活 
性 和 增 量 式 开 发 。 政 治 问题 也 是 很 重要 的 ， 通 常 一 个 问题 的 最 简单 解决 方案 就 是 变更 现 有 的 系 
Bt. 但是， 这 需要 与 系统 的 管理 人 员 谈 判 ， 合 他们 相信 这 些 变 更 对 系统 操作 没有 风险 。 

3， 当 一 个 系统 是 由 多 个 系统 集成 产生 时 ， 开 发 工作 中 一 个 重要 部 分 就 是 系统 配置 而 不 是 原 
始 代码 的 开发 。 这 不 一 定 与 增 量 式 开 发 和 频繁 的 系统 集成 兼容 。 

4. 大 型 系统 和 他 们 的 开发 流程 通常 受 限 于 外 部 规则 和 规章 限制 ， 比 如 要 求 写 各 种 系统 文 
档 等 。 

5. 大 型 系统 有 很 长 的 采购 和 开发 时 间 。 很 难保 持 团 队 在 整个 周期 中 保持 对 系统 有 连贯 的 认 
识 ， 不 可 避免 的 会 有 人 转 到 其 他 工作 或 项 目 中 。 

6. 大 型 系统 通常 具有 不 同 的 信息 持 有 者 。 比 如 ， 护 士 和 管理 员 可 能 是 这 个 医疗 系统 的 终端 


第 3 章 ”敏捷 软件 开发 


用 户 , 但 是 高 级 医护 人 员 、 医 院 经 理 等 也 是 信息 持 有 者 。 将 所 有 这 些 不 同 的 信息 持 有 者 加 入 到 开 
发 流程 中 当然 很 重要 。 

伸缩 的 敏捷 方法 有 两 个 观点 : 

1. 照搬 放大 的 观点 ,关注 如 何 将 这 些 方 法 应 用 到 那些 小 团队 无 法 开发 的 大 型 项 目 中 。 

2. 渗透 的 观点 ， 关 注 如 何 将 敏捷 方法 介绍 推广 到 拥有 多 年 开发 经 验 的 大 机 构 中 。 

敏捷 方法 必须 去 适应 大 型 软件 工程 。Leffingwell (2007) 认为 保留 敏捷 方法 的 基本 内 涵 是 非 
常 重要 的 一 一 弹性 计划 、 频 繁 发 布 、 持 续集 成 、 测 试 驱动 开发 、 良 好 的 团队 沟通 。 必 须 引 入 如 下 
一 些 关键 性 的 调整 : 

l. 对 大 型 系统 ， 不 可 能 只 关注 系统 的 代码 。 你 需要 做 更 多 预先 的 设计 和 系统 文档 。 软 件 体 
系 结构 必须 被 设计 好 ， 必 须要 用 文档 描述 系统 的 一 些 关键 面 ， 比 如 数据 库 模 式 ， 不 同 团队 的 工作 
划分 等 。 

2. 跨 团 队 沟 通 机 制 必须 建立 和 使 用 。 这 包括 团队 成 员 间 常规 的 电话 和 视频 会 议 ,团队 间 用 
于 更 新 各 自 进度 的 频繁 短暂 的 电子 会 议 。 包 括 E-mail 、 即 时 消息 、wiki 和 社交 网 络 等 沟通 渠道 可 
以 为 沟通 提供 便利 。 

3. 持续 集成 ， 当 系统 是 由 很 多 个 程序 模块 组 成 时 ， 由 于 任何 一 个 时 刻 都 会 有 程序 员 正在 
处 理 一 个 变更 ， 所 以 ， 持 续 的 集成 在 实际 过 程 中 是 不 可 行 的 。 但 是 ， 保 持 频繁 的 系统 构建 和 
定期 地 发 布 系统 是 十 分 关键 的 。 这 可 能 意味 着 需要 引入 能 支持 多 团队 软件 开发 的 新 的 配置 管 
理工 具 。 

小 软件 公司 非常 热衷 于 采用 敏捷 方法 。 这 些 公司 不 受 机 构 繁 文 弓 节 或 过 程 标准 的 约束 ， 他 
们 可 以 快速 采纳 新 思想 。 当 然 ， 大 型 公司 也 在 一 些 特定 项 目 中 尝试 敏捷 方法 ， 但 是 将 敏捷 推广 到 
整个 公司 对 他 们 来 说 比较 困难 。Lindvall 4$ (2004) 讨论 了 在 4 个 大 型 技术 公司 中 推广 伸缩 式 敏 
捷 方法 时 遇 到 的 问题 。 

在 大 型 公司 中 很 难 引 人 敏捷 方法 的 原因 有 以 下 几 方 面 : 

l. 没有 敏捷 开发 经 验 的 项 目 经 理 可 能 不 愿意 接受 新 方法 带 来 的 风险 ， 因 为 他 们 不 知道 这 会 
给 他 们 的 项 目 带 来 什么 样 的 影响 。 

2， 大 型 公司 通常 有 质量 保证 流程 和 标准 ， 每 一 个 项 目 都 需要 去 遵循 ， 他 们 的 官僚 性 质 ， 很 
可 能 跟 敏 捷 是 不 兼容 的 。 有 时 候 ， 这 些 是 有 软件 工具 支持 的 〈 比 如 需求 管理 工具 ) ， 而 这 些 工 具 
的 使 用 又 是 必须 的 。 

3. 当 团 队 成 员 技术 都 比较 高 时 ， 敏 捷 方法 似乎 能 工作 得 更 好 。 然 而 ， 在 大 型 机 构 中 ， 员 工 
的 技术 和 能 力 很 可 能 是 参差 不 齐 的 。 那 些 技术 水 平 比较 低 的 员工 在 敏捷 过 程 中 可 能 成 为 无 效 的 
员工 。 

4. 可 能 从 文化 上 抵制 敏捷 开发 ， 特 别 是 那些 长 久 使 用 传统 软件 工程 流程 的 机 构 。 

变更 管理 流程 和 测试 流程 可 能 是 公司 中 跟 敏 捷 不 兼容 的 流程 的 例子 。 变 更 管理 是 控制 系统 
变更 的 流程 ， 以 便 变 更 的 影响 是 可 预知 的 ， 代 价 是 可 控 的 。 所 有 的 变更 在 做 出 之 前 都 必须 先 被 审 
核 ， 这 跟 重 构 的 观念 是 冲突 的 。 在 极限 编程 方法 中 ， 任 何 开发 人 员 都 可 以 改进 任何 代码 而 不 需要 
其 他 人 同意 。 对 于 大 型 系统 ， 测 试 是 在 系统 构建 后 交 给 外 部 测试 团队 完成 的 。 这 可 能 与 XP 中 使 
用 的 测试 优先 和 经 常 测试 的 方法 冲突 。 

引进 和 维持 敏捷 在 大 型 机 构 中 的 使 用 是 一 个 文化 改变 的 过 程 。 文 化 改变 需要 一 段 很 长 的 时 
间 去 实现 ， 而 且 通 常 需要 先 改 变 管理 方式 才能 实现 。 大 型 机 构 中 希望 应 用 敏捷 ， 需 要 传道 者 去 扒 
动 改变 。 他 们 必须 投入 很 多 资源 去 改变 流程 。 当 作者 在 写作 本 文 的 时 候 ， 很 少 有 大 型 公司 已 经 实 
现 了 在 整个 机 构 中 向 敏捷 开发 的 成 功 转型 。 
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要 点 

m 敏捷 方法 是 一 种 专注 于 快速 开发 的 增 量 式 开发 ， 频 繁 地 发 布 软件 、 降 低 过 程 开 销 、 生 产 高 
质量 的 代码 。 他 们 使 用 户 直 接地 参与 到 开发 过 程 中 。 

E 决断 是 否 是 使 用 敏捷 或 计划 驱动 的 方法 取决 于 所 开发 系统 的 类 型 、 开 发 团队 的 能 力 和 开发 
系统 的 公司 的 文化 。 

n 极限 编程 是 一 种 著名 的 敏捷 方法 ， 它 集成 了 一 系列 好 的 编程 经 验 ， 例 如 频繁 地 软件 发 布 ， 
连续 软件 改善 和 客户 参与 到 软件 开发 团队 。 

m 极限 编程 的 一 个 特别 长 处 是 在 创建 程序 特征 之 前 开发 自动 测试 。 在 增 量 集成 进 系 统 的 时 候 
所 有 的 测试 必须 成 功 执行 。 

E Scrum 方法 是 一 种 提供 项 目 管理 框架 的 敏捷 方法 。 它 的 核心 是 一 组 冲刺 循环 ， 开 发 一 个 系 
统 增 量 是 有 固定 的 时 间 周 期 的 。 规 划 是 基于 积压 的 工作 的 优先 权 安排 的 ， 选 择 高 优先 权 的 
任务 开始 冲刺 循环 。 

m 伸缩 的 敏捷 方法 对 于 大 型 系统 是 很 困难 的 。 大 型 系统 需要 前 期 设计 和 一 些 文档 。 在 实践 
中 ， 当 一 个 项 目 有 几 个 独立 的 开发 团队 时 ， 连 续 的 集成 是 不 可 能 的 。 


进一步 阅读 材料 

(Extreme Programming Explained》 这 是 第 一 本 有 关 XP 的 书 ， 而 且 也 许 至 今 仍 然 是 最 可 读 的 
BT. ABM XP 的 发 明 者 的 角度 解释 了 此 方法 ， 从 中 能 清楚 地 流露 出 他 的 热情 (Kent Beck, 
Addison - Wesley，2000 ) 。 

(Get ready for agile methods, with care) 对 敏捷 方法 的 一 个 颇 有 抑 地 的 评论 ， 讨 论 了 它们 的 长 处 
和 短处 ， 是 由 具有 大 量 经 验 的 软件 工程 师 所 写 (B. Boehm , IEEE Computer, January 2002). http: // 
doi. ieeecomputersociety. org/10. 1109/2. 976920, 

(Scaling Software Agility; Best Practices for Large Enterprises) 这 本 书 主 要 介绍 了 伸缩 的 敏捷 开 
发 ， 也 介绍 了 一 些 基 本 的 敏捷 方法 ， 如 XP, Serum 和 Crystal (D. Leffingwell, Addison-Wesley , 
2007), 

(Running an Agile Software Development Project》 许 多 关于 敏捷 方法 的 书 致力 于 一 种 特殊 的 方 
法 ,但 这 本 书 采 用 了 一 个 不 同 的 方法 ， 并 讨论 了 怎样 在 项 目的 实际 中 应 用 XP 方法 
( M. Holcombe, John Wiley and Sons, 2008), 


练习 

3.1 解释 为 什么 对 新 系统 来 说 ， 快 速 交 付 和 部 署 要 比 这 些 系统 的 具体 功能 更 重要 。 

3.2 解释 敏捷 方法 的 基本 原理 是 如 何 能 带 来 加 速 的 软件 开发 和 部 署 。 

3.3 你 在 什么 情况 下 会 劝告 不 用 敏捷 方法 来 开发 软件 系统 ? 

3.4 极限 编程 是 用 故事 情节 来 表达 用 户 需 求 的 ， 每 一 个 情节 书写 在 卡片 上 。 讨 论 这 种 需求 描述 方法 的 优点 
和 和 缺点 。 

3.5 解释 为 什么 测试 优先 的 开发 能 帮助 程序 员 获 得 对 系统 需求 的 更 好 的 理解 。 测 试 优先 开发 有 什么 潜在 的 
困难 ? 

3.6 给 出 4 个 理由 说 明 为 什么 结对 编程 的 软件 生产 率 比 程序 员 单个 编程 时 高 。 

3.7 比较 Serum 和 第 23 章 介绍 的 常规 的 计划 驱动 的 项 目 管理 方法 。 比 较 应 基于 每 种 方法 在 以 下 几 方 
面 的 有 效 性 : 计划 人 员 的 分 配 ， 估计 项 目的 预算 ， 维 持 团队 的 上 凝聚力， 管理 项 目 团队 成 员 的 
变更 。 
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3.8 假设 你 是 公司 里 的 软件 管理 者 ， 为 飞机 开发 了 一 个 安全 性 要 求 极 高 的 控制 软件 。 你 负责 开发 软件 设计 
支持 系统 的 项 目 ， 此 系统 是 要 支持 将 软件 需求 翻译 成 形式 化 软件 描述 (第 13 章 介绍 的 ) 。 请 评论 下 
列 开发 策略 的 优点 和 缺点 : 
a 从 软件 工程 师 和 其 他 的 信息 持 有 者 〈 如 管理 认证 机 关 ) 处 收集 需求 ， 并 用 计划 驱动 的 方法 开发 
系统 。 
b. 用 一 种 脚本 语言 开发 原型 ， 如 Ruby 或 Python， 与 软件 工程 师 和 其 他 的 信息 持 有 者 评估 该 原型 ， 然 
后 审查 系统 需求 。 使 用 Java 开发 最 终 的 系统 。 
c. 使 用 敏捷 方法 并 让 用 户 参 与 到 开发 团队 中 开发 此 系统 。 

3.9 让 一 名 用 户 紧密 参与 到 软件 开发 团队 中 的 一 个 问题 是 “地 方 化 " ， 也 就 是 ， 团 队 成 员 采 纳 开 发 团队 的 
观点 而 忽视 用 户 队 员 的 需求 。 请 写 出 3 个 解决 建议 ， 并 讨论 每 一 个 的 优点 和 缺点 。 

3.10 为 了 降低 成 本 和 交通 环境 的 影响 ， 你 的 公司 决定 关闭 一 些 办 公 室 ， 并 为 员工 提供 在 家 工作 的 支持 。 
但 是 ， 引 入 该 策略 的 高 级 管理 人 员 不 知道 该 软件 是 依赖 团队 密切 合作 和 结对 编程 的 敏捷 方法 的 。 讨 
论 这 项 新 策略 可 能 导致 的 困难 ， 并 写 出 你 将 如 何 应 对 这 些 问题 。 
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目标 

本 章 的 目标 是 要 介绍 软件 需求 的 概念 ， 并 讨论 与 发 现 和 记录 这 些 需 求 所 需 的 过 程 。 当 你 读 
完 本 章 ， 你 将 了 解 以 下 内 容 : 

到 了解 用 户 需求 和 系统 需求 的 概念 以 及 这 些 需 求 要 使 用 不 同 的 方法 表达 的 原因 ; 

m 了 解 功能 需求 和 非 功能 需求 之 间 的 不 同 ; 

时 了 解 如 何在 软件 需求 文档 中 机 构 需求 ; 

四 了解 导 出 、 分 析 和 有 效 性 验证 等 主要 的 需求 工程 活动 ， 以 及 这 些 活 动 之 间 的 关系 ; 

m 了解 需求 管理 为 什么 是 必要 的 ， 以 及 它 是 如 何 支 持 其 他 需求 工程 活动 的 。 


对 系统 应 提供 的 服务 和 所 受到 的 约束 的 描述 就 是 系统 需求 的 内 容 。 这 些 需 求 反映 了 客户 对 
系统 帮助 其 解决 某 些 问题 的 需要 ， 这 些 问 题 可 以 是 : 对 设备 的 控制 ， 安 排 一 次 订货 ,或 者 是 信息 
的 查询 ， 等 等 。 对 服务 和 约束 的 发 现 、 分 析 、 建 立 文档 、 检 验 的 过 程 叫做 需求 工程 。 

需求 这 个 术语 在 软件 行业 中 使 用 得 可 能 很 不 一 致 。 在 某 些 情况 下 ， 一 个 需求 被 视 为 对 系统 
应 该 提供 的 服务 或 对 系统 的 约束 的 一 个 高 层 抽象 描述 ， 而 在 另 一 些 较 极端 的 情形 ， 它 又 被 定义 
为 是 对 系统 功能 的 详细 的 、 用 数学 方法 的 形式 化 描述 。Davis (1993) 解释 了 为 什么 会 存在 这 些 
不 同 。 

如 果 一 家 公司 要 与 另 一 机 构 签订 一 个 大 型 软件 开发 项 目 合同 ， 那 这 家 公司 就 要 尽量 概要 地 
定义 对 该 项 目的 要 求 ， 而 且 在 这 样 的 描述 中 不 应 限制 解决 方案 。 这 时 候 ， 就 需要 一 个 文本 形式 的 
需求 以 便 多 个 承包 商 竞标 ， 或 者 以 不 同方 式 满足 客户 的 机 构 需 求 。 一 旦 签订 了 合同 ， 承 包 商 就 要 
为 客户 写 出 更 详细 的 系统 定义 ， 要 让 用 户 能 看 懂 并 要 在 此 确认 系统 到 底 需 要 提供 哪些 服务 。 这 
两 种 文件 都 被 称 为 需求 文档 。 

某 些 出 现在 需求 工程 过 程 期 间 的 问题 就 是 因为 没有 对 这 两 个 层次 的 描述 做 出 清晰 的 分 离 。 
本 书 采用 用 户 需 求 这 个 术语 来 表达 高 层 的 概要 和 需求， 用 系统 需求 这 个 术语 表达 对 系统 应 该 提供 
哪些 服务 的 详细 描述 。 用 户 需 求 、 系 统 需 求 的 定义 如 下 : 

1. 用 户 需 求 是 用 自然 语言 加 图 的 形式 给 出 的 、 关 于 系统 需要 提供 哪些 服务 以 及 系统 操作 受 
到 哪些 约束 的 声明 。 

2. 系统 需求 详细 地 给 出 系统 将 要 提供 的 服务 以 及 系统 所 受到 的 约束 。 系 统 需求 文档 有 时 也 
称 为 功能 描述 ， 应 该 是 精确 的 。 它 可 能 成 为 系统 买方 和 软件 开发 者 之 间 合 同 的 重要 内 容 。 

因为 需要 向 不 同类 型 的 读者 传达 系统 信息 ， 因 此 ， 不 同 层 次 的 需求 是 有 用 的 。 图 4-1 说 
明了 用 户 和 系统 需求 之 间 的 区 别 。 这 个 来 自 心 理 健康 护理 病人 管理 系统 (MHC-PMS) 的 实 
例 给 出 了 怎样 将 一 个 用 户 需求 扩展 为 一 系列 系统 需求 。 从 图 4-1 我 们 可 以 看 出 ， 用 户 需 求 
是 十 分 概括 的 ， 而 系统 需求 对 即将 要 实现 的 系统 所 应 该 提供 的 服务 和 功能 给 出 了 更 加 详尽 
的 信息 。 

我 们 需要 写 不 同 详细 程度 的 需求 ， 因 为 不 同 的 读者 以 不 同 的 方式 来 阅读 这 些 需求 。 图 42 给 
出 了 关于 用 户 需求 和 系统 需求 的 潜在 读者 。 用 户 需 求 的 读者 一 般 不 关心 系统 是 如 何 实现 的 ， 他 
们 很 可 能 就 是 管理 层 的 人 ， 对 系统 的 技术 细节 不 是 很 感 兴趣 。 而 系统 需求 的 读者 需要 了 解 关于 系 
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用 户 需 求 定义 


1l. MHC-PMS 系统 每 月 都 要 产生 报告 来 显示 当月 每 个 诊所 所 开 药物 的 成 本 。 
LL 




















L1 在 每 个 月 的 最 后 一 个 工作 日 ， 对 所 开 的 药物 、 药 物 成 本 以 及 开 药 诊所 应 该 产生 一 个 汇总 报告 ; 

1.2 系统 应 该 在 当月 最 后 一 个 工作 日 的 17: 30 之 后 自动 生成 打印 报告 ; 

1.3 应 该 为 每 一 个 诊所 生成 一 个 报告 ， 并 列 出 各 种 药 的 药 名 、 处 方 的 总 数 、 药 物 总 量 ， 以 及 所 开 药物 的 成 本 ; 
1.4 如 果 药 物 可 以 分 为 不 同 剂量 单位 〈 如 10mg，20 mg) ， 就 要 为 每 一 剂量 单位 单独 生成 报告 ; 

1.5 对 所 有 成 本 报告 的 访问 权限 应 只 限于 管理 访问 控制 单 上 的 授权 用 户 。 
图 4-1 用 户 需求 和 系统 需求 


统 如 何 工作 的 更 详细 的 内 容 , 因为 他 们 关心 系统 将 如 何 支 
持 业 务 过 程 ， 或 者 是 因为 他 们 参与 了 系统 的 具体 实现 。 
本 章 介绍 的 是 一 种 传统 意义 上 的 需求 ， 而 不 是 在 敏 
捷 过 程 中 的 需求 。 对 于 大 多 数 大 型 系统 来 说 ， 仍 然 属于 
这 种 情况 ， 就 是 在 系统 实现 开始 之 前 有 一 个 清晰 明确 的 
需求 工程 阶段 。 所 产生 的 结果 是 一 个 需求 文档 ， 它 可 能 | eme | 
是 系统 开发 合同 的 一 部 分 。 当 然 ， 通常 以 后 会 有 对 需求 T LARA | 
的 变更 ， 用 户 需求 可 能 会 扩展 为 更 多 具体 的 系统 需求 。 图 4 2 未 同类 型 的 需求 捕 壕 的 读者 
然而 在 系统 开发 过 程 中 同时 导出 需求 的 敏捷 方法 对 于 大 
型 系统 开发 来 说 是 很 少 用 到 的 。 


4.1 功能 需求 和 非 功能 需求 


软件 系统 需求 常常 分 为 功能 需求 和 非 功能 需求 

l. 功能 需求 ”包括 对 系统 应 该 提供 的 服务 、 如 何 对 特殊 输入 做 出 反应 ， 以 及 系统 在 特定 条 
件 下 的 行为 的 描述 。 在 某 些 情况 下 ， 功 能 需求 可 能 还 需 明确 声明 系统 不 应 该 做 什么 。 

2. 非 功 能 需求 ”对 系统 提供 的 服务 或 功能 给 出 的 约束 。 包 括 时 间 约 束 、 开 发 过 程 的 约束 和 
所 受到 的 标准 的 约束 。 非 功能 需求 经 常 适用 于 整个 系统 而 不 是 个 别 的 系统 功能 或 服务 。 

事实 上 ， 这 些 不 同类 型 的 需求 之 间 的 区 别 并 不 像 定义 的 那么 明显 。 若 用 户 需求 是 关于 信息 
安全 性 的 ， 例 如 对 授权 用 户 的 访问 限制 的 声明 ， 则 表现 为 一 个 非 功能 需求 。 然 而 ， 当 具体 开发 
时 ， 它 可 能 导致 其 他 明显 的 功能 性 的 需求 ， 比 如 ， 包 括 系 统 中 用 户 授权 的 需求 。 

这 些 表明 需求 并 不 是 独立 的 ， 一 个 需求 经 常会 产生 或 是 约束 其 他 的 需求 。 因 此 ， 系 统 需 求 并 
不 仅仅 是 要 具体 说 明 系 统 所 需要 提供 的 服务 或 功能 ， 也 必须 明确 指明 确保 这 些 服务 和 功能 正确 
交付 的 一 些 必要 的 功能 。 


4.1.1 功能 需求 


功能 需求 描述 系统 所 提供 的 功能 或 服务 。 它 取决 于 开发 的 软件 类 型 、 软 件 潜在 的 用 户 ， 以 及 
机 构 在 写 需 求 时 所 采用 的 一 般 方法 。 如 果 是 用 户 需 求 ， 就 要 用 可 以 被 系统 用 户 理解 的 一 种 抽象 
方法 来 描述 功能 需求 。 然 而 更 具体 的 功能 性 系统 需求 则 需要 详细 地 描述 系统 功能 、 输 入 和 输出 、 
异常 等 。 

功能 性 系统 需求 是 多 方面 的 ， 从 系统 所 应 提供 的 服务 这 样 的 -- 般 性 需求 到 反映 本 地 的 特色 
工作 方式 或 是 机 构 已 有 系统 这 样 一 些 特殊 和 需求。 下面 是 MHC-PMS 系统 的 几 种 功能 需求 ， 此 系统 
是 用 来 维护 进行 心理 健康 护理 的 病人 信息 的 : 
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1. 用 户 能 够 搜索 到 所 有 诊所 的 预约 挂号 单 。 

2. 系统 每 天 能 够 为 每 个 诊所 生成 一 份 想 预 约 在 那天 就 诊 的 病人 和 名单 。 

3. 每 位 使 用 该 系统 的 职员 都 可 以 通过 他 的 8 位 雇员 号 码 被 唯一 地 识别 。 

这 些 功能 性 用 户 需求 定义 了 系统 必须 提供 的 特殊 功能 。 这 些 需 求 是 从 系统 的 用 户 需求 文档 中 摘 
取出 来 的 ， 从 中 可 以 看 出 功能 需求 可 能 会 以 不 同 的 详细 程度 被 重 写 (对 比 一 下 需求 1 和 需求 3) 。 

软件 工程 中 的 许多 问题 都 源 自 对 需求 描述 的 不 严密 。 系 统 开发 者 自然 想 把 模糊 的 需求 以 某 
种 容易 实现 的 内 容 去 解释 它 。 然 而 ， 客 户 常常 不 希望 这 样 做 。 新 的 需求 需要 不 断 地 建立 ， 需 求 变 
更 也 会 不 断 地 发 生 。 当 然 ， 这 样 会 延迟 系统 的 交付 ， 也 会 增加 成 本 。 


© suas 


系统 的 领域 需求 是 从 系统 的 应 用 域 中 得 出 的 而 不 是 从 个 别 系 统 用 户 那里 得 到 的 。 它 们 可 
能 本 身 就 是 新 的 功能 需求 ， 也 可 能 是 约束 现 有 的 功能 需求 ， 或 者 是 特别 的 计算 必须 如 何 进行 
的 规定 。 

领域 需求 的 问题 在 于 ， 软 件 工程 师 可 能 对 系统 所 运行 的 域 的 特点 没有 了 解 。 他 们 无 法 掌 
握 是 否 领域 需求 被 遗漏 或 是 与 其 他 的 需求 发 生 冲突 。 
http://www. SoftwareEngineering-9. com/ Web/ Requirements/ DomainReq. html 













Plin, MHC-PMS 系统 的 第 一 个 需求 例子 中 提 到 用 户 能 够 找到 所 有 诊所 的 预约 挂号 单 。 有 这 
种 需求 的 理由 是 有 心理 健康 问题 的 病人 经 常 是 糊涂 的 。 他 们 可 能 预定 了 一 家 诊所 而 实际 上 却 去 
阴 外 一 家 。 如 果 他 们 有 一 个 预约 ， 他 们 将 会 被 记录 为 已 就 诊 ， 而 无 论 是 在 娜 个 诊所 。 

医务 工作 人 员 定义 “搜索 ”的 含义 是 希望 通过 给 出 病人 的 姓名 ， 系 统 就 可 以 在 所 有 诊所 的 
预约 单 中 查 拒 该 姓名 。 尽 管 如 此 ， 这 在 需求 中 并 不 是 阐述 得 很 直 白 。 系 统 开发 者 可 能 会 用 另 一 种 
不 同 的 方式 来 解释 这 个 需求 ， 而 且 会 实现 一 个 搜索 功能 以 至 于 用 户 不 得 不 选择 一 家 诊所 才 可 以 
执行 搜索 功能 。 这 明显 会 涉及 更 多 的 用 户 输入 而 花费 更 多 的 时 间 。 

理论 上 ， 系 统 的 功能 需求 描述 应 该 既 完 备 又 一 致 。 完 备 意味 着 用 户 所 需 的 所 有 服务 都 应 该 
给 出 描述 。 一 致意 味 着 需求 描述 不 能 前 后 矛盾 。 在 实际 中 ， 对 大 型 而 又 复杂 的 系统 而 言 ， 要 做 到 
需求 描述 既 完备 又 一 致 几乎 是 不 可 能 的 。 一 方面 是 因为 在 为 复杂 系统 写 需 求 描述 时 很 容易 出 现 
错误 和 遗漏 ; 另 一 方面 是 因为 在 一 个 大 型 系统 中 有 很 多 信息 持 有 者 ， 一 个 信息 持 有 者 是 在 一 定 
程度 上 被 系统 影响 的 一 个 人 或 一 个 角色 。 这 些 信息 持 有 者 经 常 有 着 不 同和 不 一 致 的 需求 。 在 最 
初 描述 需求 的 时 候 ， 这 些 矛 盾 可 能 不 明显 ， 需 求 的 不 一 致 性 就 这 样 潜伏 在 描述 中 了 。 只 有 深入 地 
分 析 之 后 或 当 系统 交付 客户 使 用 之 后 问题 才能 暴露 出 来 。 


4.1.2 非 功能 需求 


所 谓 非 功能 需求 ， 如 名 字 所 示 ， 是 指 那些 不 直接 关系 到 系统 向 用 户 提供 的 具体 服务 的 -类 
需求 。 它 们 与 系统 的 总 体 特 性 相关 ， 如 可 靠 性 、 响 应 时 间 和 储存 空间 占用 等 。 换 言 之 ， 它 们 对 系 
统 的 实现 定义 了 约束 ， 如 VO 设备 的 能 力 、 与 其 他 系统 接口 的 数据 的 表示 等 。 

非 功 能 性 系统 需求 ， 例 如 性 能 ,安全 性 ， 可 用 性 ， 通 常会 从 总 体 上 规范 或 约束 系统 的 特 
性 。 非 功能 性 需求 通常 会 比 个 别 的 功能 性 需求 更 加 关键 。 系 统 用 户 经 常 发 现 所 用 系统 并 没有 
在 某 个 功能 方面 满足 他 们 的 需求 ,但 是 还 是 能 想 办 法 克服 这 些 不 足 。 然而， 如 果 一 个 非 功 能 
系统 需求 没有 满足 则 可 能 使 整个 系统 无 法 使 用 。 举 例 来 说 ， 如 果 一 个 飞机 系统 不 符合 可 靠 性 
需求 ， 它 将 不 会 被 批准 飞行 ; 如果 一 个 实时 控制 系统 无 法 满足 其 性 能 需求 ， 控 制 功能 可 能 根 
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本 无 法 使 用 。 

识别 哪个 系统 组 件 实现 特别 的 功能 性 需求 是 比较 容易 的 (例如 那些 实现 报告 需求 的 格式 化 
组 件 ) ， 但 是 把 这 些 组 件 与 非 功 能 性 需求 联系 起 来 却 是 相当 困难 的 。 这 些 需 求 的 实现 可 能 散布 在 
整个 系统 之 中 。 原 因 如 下 

l. 非 功能 性 需求 会 影响 整个 系统 的 体系 结构 ， 而 不 是 个 别 的 组 件 。 例 如 ， 为 了 保证 系统 的 
性 能 需求 ， 就 必须 合理 组 织 系统 使 得 组 件 之 间 的 通信 和 量 达 到 最 小 。 

2. 单个 的 非 功能 需求 ， 比 如 一 个 信息 安全 性 需求 ， 可 能 会 产生 数 个 相关 的 功能 性 需求 ， 这 
些 功能 性 需求 定义 了 新 系统 所 要 求 的 服务 。 

非 功能 需求 源 于 用 户 的 需要 ， 因 为 预算 约束 、 机 构 政 策 、 与 其 他 软 硬 件 系统 的 互 操 作 ， 还 包 
括 如 安全 规章 、 隐 私 权 保护 的 法 律 等 外 部 因素 。 图 4-3 是 对 非 功 能 需求 的 一 个 分 类 。 从 这 个 分 类 
图 中 可 以 看 出 非 功 能 需求 或 是 来 源 于 所 要 求 的 软件 特性 (产品 需求 )， 或 是 来 源 于 开发 软件 的 机 
构 〈 机 构 需 求 ) ， 或 是 来 源 于 外 部 来 源 。 


图 4-3 非 功 能 需求 的 类 型 


1. 产品 需求 ”这些 需求 定义 或 约束 软件 的 行为 。 例 子 包括 系统 执行 速度 有 多 快 和 内 存 消耗 
需要 多 少 等 性 能 需求 ， 包 括 指定 系统 可 以 接受 的 出 错 率 等 系统 可 靠 性 需求 ， 也 包括 信息 安全 性 
需求 和 可 用 性 需求 。 

2. 机 构 需求 ”这 些 需 求 是 很 广泛 的 系统 需求 ， 起 源 于 客户 所 在 的 机 构 和 开发 者 所 在 的 机 构 
中 的 政策 和 规定 。 例 子 包括 过 程 标 准 ， 即 机 构 中 采用 的 过 程 标准 ; 实现 要 求 ， 如 所 采用 的 程序 设 
计 语 言 和 设计 方法 ; 交付 需求 ， 即 有 关 对 产品 及 其 文档 交付 的 要 求 。 

3. 外 部 需求 ”这 也 是 个 广泛 的 类 别 ， 包括 所 有 来 自 于 系统 外 部 因素 和 开发 过 程 的 需求 。 这 
些 需求 会 包括 监管 需求 ， 指 定 什 么 是 系统 必须 实现 的 以 通过 如 中 央 银 行 这 样 的 上 级 监管 部 门 的 
批准 ; 立法 需求 ， 必 须 得 到 遵守 以 确保 系统 在 法 律 许可 的 范围 内 工作 ; 道德 需求 ， 保 证 系统 能 被 
用 户 和 一 般 社 会 公众 所 接受 。 

图 4-4 给 出 了 来 自 MHC-PMS 系统 的 产品 需求 、 机 构 需 求 和 外 部 需求 的 实例 ， 它 的 用 户 需求 
请 参见 4.1. 1 节 。 它 的 产品 需求 是 一 种 可 用 性 需求 ， 定 义 了 系统 每 天 的 可 用 性 和 不 可 用 性 时 间 。 
没有 提 及 MHC-PMS 的 功能 ， 但 却 明确 地 规定 了 系统 设计 人 员 必 须要 考虑 的 约束 。 

机 构 需 求 规定 了 系统 如 何 验证 用 户 。 对 于 所 用 的 软件 来 说 ， 操 作 系 统 的 权力 正在 移 向 一 个 
标准 化 的 验证 程序 ， 不 再 是 用 户 拥 有 一 个 登录 名 ， 而 是 通过 一 个 阅读 器 来 刷 身 份 证 以 此 来 验证 
身份 。 外 部 需求 来 自 于 对 隐私 权 保护 的 法 律 条 文 的 遵守 ， 隐 私 在 医疗 系统 中 显然 是 一 个 非常 重 
要 的 问题 。 外 部 需求 规定 系统 必须 与 国家 隐私 标准 保持 一 致 。 
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产品 需求 
MHC-PMS 系统 必须 对 所 有 诊所 在 正规 工作 时 间 内 (周一 至 周 五 ， 08: 30 ~17: 30) 都 是 可 用 的 。 任 何 一 天 
的 正规 工作 时 间 内 系统 的 关闭 时 间 不 应 超过 5 秒 钟 。 


机 构 需 求 : 
MHC-PMS 系统 的 用 户 应 该 使 用 他 们 的 卫生 局 身份 证 件 来 验证 自己 。 
外 部 需求 

系统 必须 依照 法 律 HStan - 03 -2006 - priv 贯彻 病人 隐私 条 款 。 


4-4 MHC-PMS 中 的 非 功能 需求 实例 


一 个 存在 于 非 功能 性 需求 中 的 普遍 问题 是 ， 用 户 或 消费 者 经 常 建议 把 这 些 需求 作为 总 的 目 
标 ， 比 如 易 用 性 ， 系 统 的 恢复 性 ， 或 是 快速 的 反应 能 力 。 目 标 固然 能 提出 好 的 计划 ， 但 也 带 给 开 
发 者 许多 问题 ， 因 为 这 会 给 系统 交付 之 后 在 客户 和 开发 者 之 间 引 发 争议 。 例 如 ， 下 面 的 系统 目标 
就 是 一 个 管理 者 如 何 表 达 可 用 性 需求 的 典型 例子 。 

系统 对 医务 工作 人 员 来 说 应 该 是 容易 使 用 的 ， 并 且 以 一 种 用 户 错误 最 小 的 方式 来 管理 系统 。 

再 次 提 到 这 个 需求 是 为 了 说 明 该 目标 怎样 才能 表达 为 一 种 “可 测试 ” 非 功 能 需求 。 客 观 地 
来 验证 系统 目标 是 不 可 能 的 ， 但 是 在 以 下 的 描述 中 你 至 少 可 以 用 软件 手段 计数 由 用 户 在 测试 系 
统 时 所 制造 出 的 错误 。 | 

医务 工作 人 员 应 该 能 够 在 4 小 时 的 培训 后 学 会 使 用 系统 的 所 有 功能 。 在 培训 后 有 经 验 的 用 户 
在 系统 的 使 用 中 所 犯 的 错误 不 能 超过 2 个 /小 时 。 

只 要 有 可 能 ， 我 们 就 应 该 使 非 功 能 需求 得 以 量化 ， 从 而 使 其 验证 更 客观 。 图 4-5 给 出 了 许多 
可 能 用 来 指定 非 功能 性 系统 属性 的 量度 。 基 于 这 些 度 量 的 测试 可 以 检验 系统 是 否 满足 了 相应 的 
需求 。 















处 理 的 交易 / 秒 
用 户 /事件 响应 时 间 
屏幕 刷新 时 间 


浪 字 节 数 
ROM 芯片 数 
培训 时 间 
帮助 帧 数 


平均 失败 时 间 
不 可 用 的 概率 
失败 发 生 频 率 
可 用 性 


失败 后 重启 时 间 
事件 引起 失败 的 百分数 
失败 中 数据 崩溃 的 概率 


目标 依赖 语句 的 百分数 
可 移植 性 目标 系统 的 数目 


图 4-5 定义 非 功 能 需求 的 量度 


在 实际 过 程 中 ， 对 需求 描述 的 量化 通常 是 很 困难 的 。 客 户 没有 能 力 将 目标 转化 成 量化 的 需 
求 ， 像 可 维护 性 这 样 的 目标 ， 没 有 量度 可 供 使 用 。 在 另外 一 些 情形 中 ， 即 使 量化 描述 是 可 能 做 到 
的 ， 客 户 也 没有 能 力 把 他 们 的 需求 和 这 些 描述 相对 应 。 他 们 根本 不 理解 一 个 描述 所 需要 的 指标 ， 
比如 说 可 靠 性 ， 和 他 们 日常 计算 机 操作 经 验 有 什么 联系 。 对 非 功能 需求 的 量化 验证 成 本 极 高 ， 支 
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付 系统 开发 的 客户 会 认为 这 些 成 本 是 不 划算 的 。 

非 功能 需求 常 与 功能 需求 或 其 他 功能 需求 发 生 冲 突 ， 它 们 之 间 存 在 着 相互 作用 关系 。 举 例 
来 说 ， 在 图 4-4 的 验证 需求 中 显然 要 求 每 台电 脑 要 安装 一 个 连接 该 系统 的 读 卡 器 。 有 时 候 要 从 医 
生 或 护士 的 笔记 本 上 移动 性 访问 该 系统 ， 而 它们 是 不 能 正常 安装 读 卡 器 的 。 在 这 种 情况 下 ， 就 必 
须 有 可 选 验 证 方法 。 

实际 上 ， 将 功能 需求 和 非 功能 需求 在 需求 文档 中 区 分 开 是 很 困难 的 ， 如 果 将 非 功能 需求 从 
功能 需求 中 分 开 ， 它 们 之 间 的 关系 就 很 难看 出 来 。 然 而 ， 对 系统 总 体 特性 方面 的 需求 应 该 直 白地 
突出 显示 出 来 ， 例 如 性 能 或 可 靠 性 。 即 用 需求 文档 中 的 单独 一 部 分 来 描述 ， 或 者 是 用 其 他 方式 表 
示 以 区 别 于 其 他 系统 需求 。 | 

非 功能 性 需求 ， 如 可 靠 性 、 安 全 性 和 信息 安全 性 需求 ， 对 于 要 求 极 高 的 系统 来 说 至 关 重 要 。 
因此 第 12 章 将 对 可 靠 性 和 安全 性 需求 相关 技术 做 更 详尽 的 描述 和 讨论 。 


© uie 


有 很 多 大 型 机 构 ， 例 如 美国 国防 部 和 IEEE， 它 们 对 需求 文档 有 定义 好 的 标准 。 这 些 标准 
是 非常 一 般 化 的 ， 但 尽管 如 此 ， 作 为 开发 更 详细 的 机 构 自 己 的 标准 是 很 有 用 的 。 美 国电 气 电 
子 工程 师 协会 (IEEE) 是 一 个 闻名 的 标准 提供 者 ， 它 们 已 经 开发 了 需求 文档 结构 。 该 标准 对 
于 像 军 事 指控 系统 这 样 具有 长 生命 期 并 总 是 由 一 群 开 发 机 构 所 开发 的 系统 来 说 是 最 为 合适 
的 了 。 











http://www. SoftwareEngineering-9. com/Web/Requirements/IEEE-standard. html 


4.2 软件 需求 文档 


软件 需求 文档 (有 时 叫 做 软件 需求 描述 或 SRS) 是 对 系统 开发 者 需要 实现 什么 的 正式 陈述 。 
它 应 该 包括 系统 的 用 户 需求 和 一 个 详细 的 系统 需求 描述 。 在 某 些 情况 下 ， 用 户 需 求 和 系统 需求 
被 集中 在 一 起 描述 。 在 其 他 的 情况 下 ， 用 户 需 求 在 系统 需求 的 引言 部 分 给 出 。 如 果 有 很 多 的 需 
求 ， 详 细 的 系统 需求 可 能 被 分 隔 到 不 同文 档 中 单独 描述 。 

在 外 部 承包 离开 发 软件 系统 时 需求 文档 是 必要 的 。 然 而 敏捷 开发 模式 的 使 用 表明 由 于 需求 
的 快速 变化 ， 致 使 需求 文档 在 写 完 时 已 经 过 时 ， 也 就 浪 寓 了 大 量 的 精力 。 于 是 像 极 限 编程 





(Beck, 1999) 这 类 的 方法 相应 产生 ， 这 种 方法 是 增 量 指定 需求 ， 检 查 需 求 
式 收集 用 户 需 求 ， 并 把 它们 作为 用 户 故 事情 景 写 在 卡 - ERE" 
片上 。 然 后 用 户 对 要 实现 的 需求 给 出 优先 级 排序 ， 最 

为 紧要 的 需求 将 在 下 一 个 增 量 中 优先 考虑 。 Ë s Un 





作者 认为 ， 这 种 方法 很 适合 需求 不 稳定 的 业务 系 
统 。 但 是 有 一 份 定义 系统 的 业务 和 可 靠 性 需求 的 短 的 OTDR 
支持 文档 仍然 是 有 用 的 。 当 专注 于 系统 下 一 个 版 本 的 
功能 性 需求 时 ， 很 容易 忘记 应 用 到 整个 系统 上 的 需求 。 


RAN HERAT 
需求 文档 有 一 个 较 广 范围 的 读者 群 ， 从 那些 订购 工程 师 BINA 


系统 的 高 级 机 构 管理 者 到 负责 开发 系统 的 软件 工程 师 。 


图 4-6 (Kotonya 和 Sommerville, 1998) 说 明了 文档 的 系统 维护 使 用 需求 来 帮助 理解 
系统 及 其 中 的 各 个 音 
可 能 用 户 和 他 们 如 何 使 用 文档 。 DEA PER 


可 能 用 户 的 广泛 性 意味 着 需求 文档 必须 在 以 下 几 图 4-6 需求 文档 的 用 户 
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个 方面 采取 一 个 折 中 : 与 客户 关于 需求 的 沟通 ; 为 开发 者 和 测试 者 在 细节 层次 上 定义 需求 ; 附带 
可 能 对 系统 所 做 的 进化 的 有 关 信 息 。 对 可 预见 变更 方面 的 信息 能 帮助 系统 设计 者 避免 做 出 一 些 
苛刻 的 设计 决策 ， 也 能 帮助 系统 维护 工程 师 避 免 不 得 不 为 新 需求 而 去 调整 系统 。 

需求 文档 中 内 容 的 详细 程度 ， 取 决 于 所 要 开发 的 系统 的 类 型 以 及 所 使 用 的 开发 过 程 。 要 求 
极 高 的 系统 需要 有 详尽 的 需求 ， 因 为 安全 性 和 信息 安全 性 都 需要 详细 的 分 析 。 当 一 个 系统 是 由 
某 个 外 部 机 构 承 担 的 时 候 ， 要求 极 高 的 一 类 系统 的 描述 就 需要 非常 精确 和 详细 。 如 果 需 求 中 有 
较 大 的 弹性 的 话 ， 且 系统 是 由 本 机 构 内 部 开发 的 话 ， 文 档 就 不 必要 写 得 太 详 细 ， 一 些 二 义 性 问题 
可 以 在 开发 阶段 得 以 解决 。 

图 4-7 是 一 个 基于 IEEE 标准 的 需求 文档 的 结构 。IEEE 标准 是 一 个 通用 的 标准 ， 可 以 调整 以 
适应 特殊 场合 。 这 里 是 对 IEEE 标准 的 扩展 ， 包 含 了 由 Heninger 提出 的 系统 进化 预测 的 有 关内 
容 。 此 内 容 将 有 助 于 系统 的 维护 人 员 ， 多 许 系统 设计 人 员 加 入 对 未 来 系统 特点 的 支持 。 








描 述 


定义 文档 的 读者 对 象 ， 说 明 版 本 的 修正 历史 ， 包 括 新 版 本 为 什么 要 创建 ， 每 个 版 本 间 的 变 
更 内 容 的 概要 


应 该 描述 为 什么 需要 该 系统 ， 简 要 描述 系统 的 功能 ， 解 释 系统 是 如 何 与 其 他 系统 协同 工作 
的 。 要 描述 该 系统 在 机 构 总 体 业务 目标 和 战略 目标 中 的 位 置 和 作用 


定义 文档 中 的 技术 术语 和 词汇 。 假 设 文档 读者 是 不 具有 专业 知识 和 经 验 的 人 
这 一 部 分 要 描述 系统 应 该 提供 的 服务 以 及 非 功 能 系统 需求 ， 该 描述 可 以 使 用 自然 语言 、 图 
表 或 者 其 他 各 种 客户 能 理解 的 标记 系统 。 产 品 和 过 程 必须 遵循 的 标准 也 要 在 此 定义 


这 一 部 分 要 对 待 建 系统 给 出 体系 结构 框架 ， 该 体系 结构 要 给 出 功能 在 各 个 模块 中 的 分 布 。 
能 被 复 用 的 结构 中 组 件 要 用 醒目 方式 示意 出 来 


这 一 部 分 要 对 功能 和 非 功能 需求 进行 详细 描述 。 如 有 必要 ， 对 非 功 能 需求 要 再 进 一 步 描述 ， 
例如 ， 定 义 与 其 他 系统 间 的 接口 


这 一 部 分 要 提出 一 个 或 多 个 系统 模型 ， 以 表达 系统 组 件 、 系 统 以 及 系统 环境 之 间 的 关系 。 
这 些 模型 可 以 是 对 象 模型 、 数 据 流 模型 和 语义 数据 模型 
这 一 部 分 要 描述 系统 基于 的 基本 设想 和 定位 以 及 硬件 和 用 户 需求 改变 时 所 要 做 的 改变 。 这 
部 分 对 系统 设计 人 员 来 说 是 有 用 的 ， 因 为 这 有 助 于 他 们 避免 一 些 设计 决策 ， 这 些 决策 可 能 会 
限制 未 来 系统 的 变更 

这 一 部 分 要 提供 与 开发 的 应 用 有 关 的 详细 、 专 门 的 信息 。 该 附录 的 例子 是 硬件 和 数据 库 的 
描述 ， 硬 件 需求 定义 了 系统 最 小 和 最 优 配置 ， 数 据 库 需 求 定义 了 系统 所 用 的 数据 的 逻辑 结构 
和 数据 之 间 的 关系 


可 以 包括 文档 的 几 个 索引 。 除 了 标准 的 字母 顺序 索引 外 ， 还 可 以 有 图 表 索 引 、 功 能 索引 等 








































用 户 需 求 定义 


系统 体系 结构 


系统 需求 描述 





















































图 4-7 需求 文档 的 结构 


当然 ， 一 个 需求 文档 中 的 内 容 是 和 被 开发 软件 的 类 型 以 及 开发 中 使 用 的 方法 紧密 相关 的 。 
如 果 一 个 进化 式 方法 用 在 一 种 软件 产品 开发 上 ， 需 求 文档 将 会 省 去 上 面 提 到 的 许多 有 关 细 节 。 
重点 也 将 会 被 放 在 用 户 需 求 的 定义 和 高 标准 的 非 功 能 需求 上 面 。 在 这 种 情况 下 ,设计 者 和 编程 
人 员 将 根据 他 们 的 判断 来 决定 如 何 设计 系统 以 满足 用 户 的 需求 。 

然而 ， 当 软件 系统 是 大 型 系统 工程 项 目的 一 部 分 时 ， 大 系统 本 身 包含 交互 式 硬件 和 软件 系 
统 ， 一 般 就 必须 在 细 粒 度 层次 上 定义 需求 。 这 意味 着 需求 文档 会 非常 长 ， 而 且 可 能 包含 图 4.7 中 
所 列 的 大 部 分 章节 。 对 于 长 文档 ， 尤 其 需要 一 个 详细 的 目录 和 文档 索引 ， 以 便 读 者 能 快速 找到 所 
需 的 信息 。 
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© 使 用 自然 语言 进行 需求 描述 时 的 问题 
自然 语言 描述 需求 是 很 有 用 的 ， 但 是 它 的 灵活 性 也 总 带 来 问题 。 为 描述 不 清晰 的 需求 提 
供 了 空间 ， 阅 读者 (设计 人 员 ) 也 会 错误 解释 需求 ， 因 为 他 们 有 不 同 的 背景 ， 对 系统 用 户 的 
认识 是 很 不 相同 的 。 很 容易 将 多 个 需求 混合 在 一 个 句子 中 ， 而 对 自然 语言 描述 的 需求 的 结构 
化 会 有 很 大 的 难度 。 

http://www. SoftwareEngineering-9. com/Web/Requirements/ NL-problems. html 







4.3 需求 描述 


需求 描述 就 是 在 需求 文档 中 写 下 用 户 需求 和 系统 需求 。 在 理想 情况 下 ， 用 户 需 求 和 系统 需 
求 应 该 具有 清晰 性 、 明 确 性 、 易 读 性 、 完 整 性 和 一 致 性 。 在 实际 中 ， 这 是 很 难 做 到 的 ， 因 为 信息 
持 有 者 会 用 不 同方 式 解释 需求 ， 而 且 在 需求 中 常 有 内 在 的 冲突 和 不 一 致 性 。 

用 户 需求 是 从 用 户 角度 来 描述 系统 功能 需求 和 非 功能 需求 ， 以 便 让 不 具备 专业 技术 方 
面 知 识 的 用 户 能 看 懂 。 这 样 的 需求 描述 只 描述 系统 的 外 部 行为 ， 要 尽量 避免 对 系统 设计 特 
性 的 描述 。 因 而 ,用 户 需 求 就 不 可 能 使 用 任何 实现 模型 来 描述 ， 而 是 用 自然 语言 、 图 形 来 
PES 

系统 需求 是 用 户 需 求 的 扩展 版 ， 是 软件 工程 师 开 始 系统 设计 的 起 点 。 系 统 需求 添加 了 许多 细 
节 内 容 ， 解 释 如 何 能 让 系统 提供 用 户 需求 。 它 们 可 以 作为 有 关系 统 实现 合同 的 一 部 分 ， 因 此 它们 
是 对 系统 的 一 个 完备 且 详 尽 的 描述 。 

原则 上 讲 ， 系 统 需求 应 该 仅仅 描述 系统 的 外 部 行为 和 对 它 的 操作 上 的 限制 ， 而 不 应 该 包括 
系统 应 该 如 何 设计 和 如 何 实现 。 然 而 ， 要 在 细节 层次 上 给 出 复杂 软件 系统 的 完善 的 定义 ， 不 提 到 
任何 设计 信息 事实 上 是 不 可 能 的 。 有 这 样 一 些 理由 : 

1. 首先 要 给 出 系统 的 初始 的 体系 结构 ， 借 助 这 个 框架 来 梳理 需求 描述 。 系 统 需求 依照 构成 
系统 的 不 同 子 系统 结构 来 给 出 。 像 在 第 6 章 和 第 18 章 中 讨论 的 那样 ， 若 是 在 系统 实现 中 想 复 用 
软件 组 件 ， 体 系 结构 描述 就 是 非常 关键 的 。 

2. 在 大 部 分 情况 下 ， 系 统 和 其 他 已 存在 的 系统 存在 互 操作 。 这 就 约束 了 系统 的 设计 ， 同 时 ， 
这 些 约束 又 构成 了 新 系统 的 需求 。 

3. 使 用 特定 的 架构 来 满足 某 些 非 功能 需求 〈 例 如 ，N - 版 本 编程 环境 有 助 于 提高 系统 可 靠 
性 ， 将 在 第 13 章 给 出 讨论 ) 有 时 是 必要 的 。 会 对 系统 安全 进行 认证 的 外 部 监管 者 要 指定 使 用 一 
个 已 经 被 认证 的 体系 结构 。 

用 户 需 求 大 部 分 是 用 自然 语言 来 描述 ， 并 附加 了 一 些 图 。 系 统 需求 也 会 使 用 自然 语言 来 描 
述 ， 但 是 会 用 到 其 他 的 一 类 符号 ,这 些 符号 基于 表格 、 图 形 化 系统 模型 ， 或 者 数学 系统 模型 。 图 
4-8 总 结 了 描述 系统 需求 时 可 能 会 用 到 的 一 些 符号 。 

在 需要 描述 状态 变化 或 者 一 系列 活动 时 ， 图 形 化 模型 是 非常 有 用 的 。 在 第 5 章 中 提 到 的 
UML 序列 图 和 状态 图 ， 显 示 了 某 一 消息 或 事件 发 生 时 所 产生 的 一 系列 活动 。 形 式 化 数学 描述 有 
时 被 用 来 描述 安全 要 求 极 高 的 或 是 信息 安全 要 求 极 高 的 系统 ， 但 是 在 其 他 情况 下 很 少 用 到 。 在 
第 12 章 中 会 讲解 如 何 书写 需求 描述 。 


4.9.1 自然 语言 描述 


在 软件 工程 初期 ， 自 然 语 言 就 已 经 被 用 来 描述 软件 需求 。 它 易于 表达 ， 直 观 且 普遍 使 用 。 但 
同时 也 具有 二 义 性 ， 文 化 背景 不 同 的 读者 所 理解 的 意思 也 不 相同 。 因 此 ， 提 出 了 一 些 鞠 代 的 方法 


第 4 章 需求 工程 

















a 6 
需求 是 用 有 标点 符号 的 自然 语言 句子 写 的 。 每 个 句子 应 该 表达 一 个 需求 | j| 
需求 是 用 在 一 个 标准 格式 或 模板 中 的 自然 语言 写 的 。 每 个 域 提 供需 求 的 某 个 方面 的 信息 


此 方法 使 用 一 种 像 程序 语言 的 语言 ， 但 是 具有 更 抽象 的 特征 ， 通 过 定义 一 个 系统 的 操 
作 模 型 来 描述 需求 。 该 方法 现在 已 经 很 少 使 用 了 ， 尽 管 它 对 接口 描述 是 非常 有 用 的 


图 形 化 模型 ， 辅 之 以 文本 标记 ， 用 于 定义 系统 的 功能 需求 。UML 的 用 例 和 序列 图 是 常 
用 的 图 形 表示 
这 些 符号 是 基于 数学 概念 ， 例 如 有 限 状 态 机 或 集合 。 尽 管 这些 无 二 义 的 描述 能 够 减少 


需求 文档 中 的 二 义 性 ， 但 是 绝 大 多 数 的 客户 没有 能 力 看 懂 这 样 的 形式 描述 。 他 们 无 法 检 
查 需 求 文档 中 写 的 是 否 代 表 了 他 们 所 希望 要 的 ， 也 就 不 会 情愿 接受 这 样 的 系统 合同 形式 


符 s 
自然 语言 句子 
结构 化 的 自然 语言 
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图 4-8 系统 需求 描述 的 书写 方法 


来 书写 需求 。 尽 管 如 此 ， 这 些 方法 并 没有 被 广泛 采用 ， 自 然 语言 将 继续 作为 描述 系统 和 软件 需求 
的 最 广泛 使 用 的 方法 。 

在 使 用 自然 语言 书写 需求 时 ,为 了 尽力 减少 误解 ， 推 荐 下 面 一 些 简单 的 指导 准则 : 

1. 设计 一 个 标准 格式 ,并 保证 所 用 的 需求 定义 都 遵循 此 格式 书写 。 标 准 化 格式 不 易 发 生 遗 
漏 ， 需 求 更 易 检查 。 使 用 的 格式 是 用 一 个 单个 语句 来 表达 需求 。 把 需求 原理 和 每 一 个 用 户 需 求 联 
系 起 来 解释 提出 需求 的 原因 。 需 求 原理 里 面 可 能 也 包括 关于 需求 提出 者 的 信息 ， 这 样 在 需要 变 
更 需求 时 就 知道 该 找 谁 咨询 。 

2. 使 用 一 致 性 的 语言 来 区 分 强制 性 需求 和 可 选 性 需求 。 强 制 性 需求 是 系统 必须 支持 的 ， 定 
义 时 要 使 用 “必须 ， 可 选 性 需求 不 是 必要 的 ， 定 义 时 要 使 用 “应 该 ”。 

3. 对 文本 加 亮 〈 粗 体 、 和 斜体、 颜色 ) 来 突出 显示 关键 性 需求 。 

4. 不 要 认为 读者 会 理解 技术 人 性 软件 工程 语言 。 像 体系 结构 、 模 块 之 类 的 语言 很 容易 被 误解 。 
因此 ， 要 避免 使 用 专业 术语 和 缩写 词 。 

5. 在 任何 可 能 的 情况 下 ， 都 应 该 尝试 把 需求 原理 和 每 一 个 用 户 需 求 联系 起 来 。 需 求 原理 应 
该 解释 需求 产生 的 原因 ， 在 需求 发 生变 更 时 它 是 尤其 有 用 的 ， 可 以 用 来 判断 哪些 改变 是 不 可 
取 的 。 

E 4-9 解释 了 如 何 使 用 这 些 指导 方法 。 它 包括 两 份 需求 ， 这 两 份 需求 是 在 第 1 章 中 介绍 的 自 
动 化 胰岛 素 泵 的 通信 式 软件 需求 。 可 以 从 这 本 书 的 网 站 上 下 载 完整 的 胰岛 素 泵 的 需求 描述 。 

3.2 ”如果 需要 ， 系 统 应 该 每 10 分 钟 就 测量 一 下 血糖 水 平和 胰岛 素 的 传递 量 。( 血糖 的 变化 是 相对 缓慢 的 ， 
因此 太 过 频繁 的 测量 是 没有 必要 的 ， 测 量 的 频率 过 低 又 会 不 必要 地 导致 高 血糖 。) 


3.6 系统 应 该 在 被 测 环 境 下 按 表 ! 中 定义 的 相关 动作 每 隔 一 分 钟 执行 一 次 自 测 程序 。( 自 测 程序 能 够 发 更 
硬件 和 软件 问题 ， 并 警告 用 户 正常 的 操作 可 能 无 法 实现 。) 


图 4-9 胰岛素 泵 软件 系统 中 的 需求 实例 











4. 3.2 结构 化 描述 


结构 化 自然 语言 是 书写 系统 需求 时 的 一 种 方法 ， 需 求 的 作者 的 自由 受到 限制 ， 所 有 的 需 
求 都 要 以 一 种 标准 方式 来 书写 。 这 个 方法 的 好 处 是 它 保持 了 自然 语言 中 的 绝 大 部 分 好 的 性 质 ， 
包括 表达 能 力 和 易 懂 性 ,但 又 对 描述 施加 了 一 致 性 的 约束 。 结 构 化 语言 使 用 模板 来 描述 系统 
需求 。 描 述 时 可 以 用 程序 语言 结构 中 的 选择 和 迭代 ， 也 可 以 使 用 阴影 或 不 同 字体 来 突出 关键 
部 分 。 
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Robertson 和 robertson ( Robertson 和 Robertson, 1999) 在 他 们 介绍 VOLERE 需求 工程 方法 一 
书 中 ， 推 荐 将 用 户 需求 最 初 写 在 卡片 上 ， 一 个 需求 单独 写 在 一 张 卡片 上 。 他 们 建议 在 一 张 卡片 上 
划 定 多 个 区 域 ， 如 需求 原理 、 对 其 他 需求 的 依赖 关系 、 需 求 来 源 、 支 持 材料 ， 等 等 。 这 类 似 于 在 
图 4-10 中 使 用 结构 化 语言 描述 的 例子 中 所 用 的 方法 。 

使 用 结构 化 方法 来 描述 系统 需求 ， 要 先 为 需求 定义 一 个 或 多 个 的 标准 模板 ， 并 将 这 些 模板 
表示 成 结构 化 的 表格 形式 。 描 述 是 结构 化 的 ， 一 般 围绕 系统 所 操作 的 对 象 、 系 统 所 执行 的 功能 ， 
或 者 是 系统 所 处 理 的 事件 。 图 4-10 是 一 个 基于 表格 的 描述 的 例子 。 在 这 个 例子 中 ,定义 了 当 血 
糖 浓 度 在 安全 范围 内 时 计算 胰岛 素 流量 的 方法 。 


胰岛 素 泵 /控制 软件 /SRS/3. 3.2 
计算 胰岛 素 剂量 : 安全 的 胰岛 素 水 平 


计算 所 要 传输 的 胰岛 素 剂 量 ， 这 是 在 当前 度量 的 血糖 水 平 处 于 3 ~7 个 单位 之 间 这 样 正常 范围 之 
内 时 的 胰岛 素 计算 














当前 血糖 读数 G2). ， 先 前 的 两 个 读数 GO, rl) 
来 自传 感 器 的 当前 血糖 读数 。 其 他 读数 来 自 内 存 
CompDose - 所 要 传输 的 胰岛 素 剂量 














主 控制 循环 


如 果 血 糖水 平 是 稳定 的 或 是 往 下 掉 或 是 往 上 升 但 速率 是 下 降 的， 那么 CompDose 是 零 。 如 果 血 糖 的 
水 平 是 在 上 升 且 上 升 的 速率 也 在 上 升 阶段 ， 那 么 CompDose 的 计算 方法 是 求 当 前 血糖 水 平和 先前 血糖 
水 平 ， 然 后 除 以 4 并 取 整 。 如 果 取 整 的 结果 是 零 ， 那 么 CompDose 就 被 设置 成 可 以 传输 的 最 小 剂量 


两 个 先前 的 读数 ， 这 样 血糖 变化 速率 就 可 以 计算 出 来 了 
胰岛 素 池 容纳 至 少 是 单个 传输 剂量 的 最 大 值 
Orl FR, Ria rl 被 之 Fh 
































` 4-10 ”胰岛 素 泵 需求 的 结构 化 描述 


当 用 一 个 标准 格式 描述 功能 需求 时 ， 下 列 各 项 信息 应 该 被 包括 在 内 : 

1. 关于 所 定义 的 功能 或 实体 的 描述 。 

2. 关于 输入 及 输入 来 源 的 描述 。 

3. 关于 输出 及 输出 去 向 的 描述 。 

4. 关于 计算 所 需要 的 信息 以 及 系统 中 所 使 用 的 其 他 实体 的 信息 〈 是 “必需 ” 那 一 部 分 ) 。 

5. 关于 所 采取 的 行动 的 描述 。 

6. 如 果 使 用 了 一 个 功能 方法 ， 前 置 条 件 设 定 在 此 函数 被 调用 之 前 什么 逻辑 子 句 必须 为 真 ; 
后 置 条 件 设 定 该 功能 执行 之 后 什么 逻辑 子 句 应 该 为 真 。 

7. 关于 操作 的 副作用 〈 如 果 有 的 话 ) 的 描述 。 

使 用 结构 化 的 描述 去 除了 自然 语言 描述 中 的 一 些 问题 ， 这 是 在 描述 中 减少 了 可 变性 和 需求 
得 到 有 效 组 织 的 结果 。 然 而 ， 用 一 种 无 二 义 性 的 描述 方法 来 书写 需求 有 时 仍然 是 很 困难 的 ， 尤 其 
是 需要 描述 复杂 计算 的 时 候 ( 例 如， 如 何 计算 胰岛 素 需 求 ) 。 

为 了 说 明 这 个 问题 ,我 们 可 以 添加 额外 信息 到 自然 语言 的 需求 描述 中 ,方法 是 用 表格 或 图 
形 模 型 形式 给 出 描述 。 通 过 这 些 形 式 ， 可 以 示意 出 计算 是 如 何 进行 的 ， 系 统 状态 是 如 何 改变 的 ， 
用 户 是 如 何 与 系统 进行 交互 的 ， 以 及 动作 是 以 什么 样 的 顺序 执行 的 。 

表格 在 有 多 个 可 能 情形 时 尤其 有 用 ， 我 们 需要 对 每 一 个 这 样 的 情形 描述 清楚 所 要 采取 的 动 
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作 。 胰 岛 素 泵 是 根据 用 户 的 胰岛 素 需 求 进行 计算 的 ， 而 用 户 胰岛 素 需 求 是 根据 自身 血糖 水 平 的 
变化 速率 得 到 的 。 这 些 变 化 速率 是 通过 当前 和 先前 一 次 的 读数 计算 的 。 图 4-11 描述 了 如 何 用 血 
糖 的 变化 速率 来 计算 胰岛 素 需 求 量 。 


血糖 水 平 下 降 (12 <r) 
MURR (2-0) 
血糖 水 平 上 升 但 升 速 在 下 降 ( 02-78). < (0 -10)) 











血 精 水 平 在 上 升 ， 升 速 格 定 或 者 也 在 上 升 (G2) > 1-9) | REAR O M Copes = Maman 








图 4-11 胰岛 素 泵 计算 的 表格 描述 


4.4 需求 工程 过 程 


正如 在 第 2 章 中 所 提 到 的 ， 需 求 工程 过 程 包括 有 4 个 高 层 活动 。 它 们 是 : 评估 系统 是 否 对 业 
务 有 用 (系统 可 行 性 研究 ) ， 需 求 发 现 〈 需 求 导 出 和 分 析 ) ， 将 需求 转变 为 某 种 标准 格式 描述 
(需求 描述 ) ， 以 及 检验 需求 是 否 正确 地 定义 了 客户 所 希望 的 系统 (需求 有 效 性 验证 ) 。 在 图 2-6 
中 已 经 按照 过 程 顺 序 显 示 了 这 些 活 动 。 然 而 ， 在 实际 中 需求 工程 是 一 个 活动 相互 交错 的 迭代 
过 程 。 

图 4-12 说 明了 这 种 交错 性 。 伴 随 着 系统 需求 文档 的 导出 ， 将 这 些 活动 组 织 在 一 个 螺旋 结构 
的 迄 代 过 程 中 。 在 一 次 迭代 中 每 个 活动 所 需要 的 时 间 和 人 力 依 赖 于 总 过 程 所 处 在 的 阶段 以 及 所 
要 开发 系统 的 类 型 。 在 过 程 初 期 ， 绝 大 多 数 人 力 都 是 用 在 对 高 层 业务 的 理解 、 对 非 功能 需求 的 理 
解 以 及 对 系统 用 户 需求 的 理解 。 在 过 程 的 后 期 ， 在 螺旋 的 外 围 ， 更 多 的 人 力 将 投入 到 需求 导出 和 
理解 具体 系统 需求 中 。 






系统 需求 描述 和 建 模 










用 户 需 求 描述 






需求 有 效 性 
验证 


系统 需求 文档 


图 4-12 需求 工程 过 程 的 螺旋 模型 
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Qyueson 


可 行 性 分 析 是 一 个 短 的 很 专注 的 分 析 ， 它 应 该 在 需求 工程 过 程 的 早期 阶段 进行 。 应 该 回 
答 3 个 关键 性 问题 a) 系统 是 否 对 机 构 的 总 体 目标 有 贡献 ? b) 采用 当前 技术 ， 系 统 是 否 能 够 
在 时 间 要 求 和 预算 范围 内 实现 ? c) 系统 是 否 能 和 正在 使 用 中 的 其 他 系统 集成 ? 


如 果 对 任何 一 个 问题 的 回答 是 否定 的 话 ， 你 就 应 该 终止 正在 进行 的 项 目 了 。 
http ://www. SoftwareEngineering-9. com/Web/Requirements/ FeasibilityStudy. html 






螺旋 模型 所 提供 的 开发 方法 准许 我 们 将 需求 处 理 为 不 同 详细 程度 。 迭 代 的 次 数 可 以 不 同 ， 
这 样 螺旋 就 可 以 在 经 过 若干 或 所 有 的 用 户 需求 导出 后 退出 。 人 敏捷 开发 模式 可 以 代替 原型 开发 模 
式 ， 使 得 需求 和 系统 实现 一 同 进行 。 

有 些 人 认为 需求 工程 的 任务 是 要 提出 一 个 结构 化 方法 ,例如 ， 面 向 对 象 的 分 析 (Laman, 
2002) 。 这 包括 分 析 系 统 和 开发 一 组 基于 图 形 的 系统 模型 ， 作 为 系统 的 描述 ， 如 用 例 模型 。 这 组 
模型 描述 了 系统 的 行为 ， 并 用 附加 的 注释 信息 加 以 标注 解释 ， 如 对 它 的 性 能 或 可 靠 性 的 要 求 。 

尽管 结构 化 方法 在 需求 工程 过 程 中 起 到 重要 的 作用 ,但 需求 工程 的 问题 远 不 止 于 此 。 尤 其 
是 需求 导出 ， 它 是 一 个 以 人 为 中 心 的 活动 ， 而 人 是 不 情愿 受到 严格 的 系统 模型 束缚 的 。 

事实 上 ， 所 有 的 系统 和 需求 都 是 在 不 断 变化 的 。 开 发 人 员 都 在 寻求 能 够 更 好 理解 软件 需求 
的 方法 ; 客户 的 机 构 也 在 变化 ， 系统 的 硬件 、 软 件 和 机 构 环 境 也 在 不 断 改 变 。 管 理 这 些 不 断 变更 
的 需求 的 过 程 称 为 需求 管理 ，4. 7 节 将 介绍 这 一 主题 。 


4.5 需求 导出 和 分 析 


在 初始 的 可 行 性 研究 之 后 ， 下 一 个 需求 工程 过 程 就 是 需求 导出 和 分 析 。 在 这 个 活动 中 ， 软 件 
开发 技术 人 员 要 和 客户 及 系统 最 终 用 户 一 起 调查 应 用 领域 ， 即 系统 应 该 提供 什么 服务 ， 系 统 应 
该 具有 什么 样 的 性 能 以 及 硬件 约束 等 。 

需求 导出 和 分 析 活动 可 能 涉及 机 构 中 方方面面 的 人 。 系 统 信息 持 有 者 是 指 所 有 对 系统 需求 
有 直接 或 间接 影响 力 的 人 。 包 括 将 与 系统 交互 的 最 终 用 户 和 机 构 中 其 他 与 系统 有 关 的 人 员 。 其 
他 的 系统 相关 人 员 可 能 包括 正在 开发 或 维护 其 他 相关 系统 的 工程 人 员 、 业 务 主 管 、 领 域 专家 、 工 
会 代表 等 。 

需求 导出 和 分 析 过 程 的 过 程 模型 如 图 4-13 所 示 。 每 个 机 构 都 会 根据 这 个 通用 模型 产生 自己 
的 版 本 ， 这 依赖 于 内 部 因素 ， 包 括 开发 队伍 的 专业 化 水 平 、 所 开发 系统 的 类 型 、 采 用 的 标准 等 。 

过 程 活动 包括 : 

l. 需求 发 现 这 是 一 个 与 系统 的 信息 持 有 者 交流 从 而 发 现 他 们 的 需求 的 过 程 。 来 自信 息 持 
有 者 的 领域 需求 和 文档 也 是 在 这 个 活动 中 得 以 发 现 的 。 
在 这 一 部 分 会 讲 到 用 于 需求 发 现 的 一 些 补充 技术 。 

2. 需求 分 类 和 组 织 ”该 过 程 将 无 序 的 需求 收集 起 
来 ， 对 其 重新 组 织 和 整理 ， 将 其 分 成 相关 的 几 个 组 。 对 
需求 归 类 有 一 个 最 常用 方法 ， 就 是 利用 系统 体系 结构 模 
型 来 识别 子 系统 ， 并 把 需求 与 每 一 个 子 系统 相关 联 。 事 
实 上， 需求 工程 和 体系 结构 设计 不 能 是 完全 分 离 的 活动 。 ———— 

3. 需求 优先 权 排 序 和 协商 ”在 有 多 个 项 目 相关 人 员 图 4-13 需求 导出 和 分 析 过 程 









4. 需求 描述 
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(信息 持 有 者 ) 参与 的 地 方 ， 需求 将 不 可 避免 会 发 生 冲 突 。 这 个 活动 就 是 对 需求 优先 权 排 序 并 通 
过 协商 发 现 且 解决 这 些 冲突 。 

4. 需求 描述 ”记录 需求 并 将 它 作 为 螺旋 下 一 循环 的 输入 ， 产 生 形 式 化 的 或 非 形式 化 的 需求 
文档 ， 正 如 4.3 节 介 绍 的 那样 。 

从 图 4-13 可 以 看 出 需求 导出 和 分 析 是 一 个 迭代 过 程 ， 从 一 个 活动 到 另 一 个 活动 会 有 持续 不 
断 的 反馈 。 过 程 循环 从 需求 发 现 开始 ， 以 需求 文档 编制 结束 。 分 析 人 员 在 每 个 循环 中 都 能 进一步 
加 深 对 需求 的 理解 。 在 需求 文档 完成 时 循环 方 可 结束 。 

系统 需求 导出 和 分 析 的 过 程 是 一 个 困难 的 过 程 ， 有 这 样 一 些 原因 : 

1. 项 目 信 息 持 有 者 除了 能 通过 泛泛 的 表述 外 ， 通 常 并 不 真正 知道 他 们 希望 计算 机 系统 做 什 
么 ， 让 他 们 清晰 地 表达 出 他 们 需要 系统 做 什么 是 件 困 难 的 事情 ， 因 为 他 们 不 清楚 什么 是 可 行 的 
什么 是 不 可 实现 的 。 他 们 或 许 会 提出 不 切实 际 的 需求 。 

2. 系统 的 信息 持 有 者 自然 是 用 他 们 自己 的 语言 表达 需求 ， 这 些 语言 会 包含 很 多 他 们 所 从 事 
的 工作 中 的 专业 术语 和 专业 知识 。 需 求 工程 师 没 有 客户 的 领域 中 的 经 验 ， 可 能 并 不 了 解 这 些 
需求 。 

3. 不 同 的 信息 持 有 者 有 不 同 的 需求 ， 他 们 可 能 以 不 同 的 方式 表达 这 些 需 求 。 需 求 工程 师 必 
须发 现 所 有 潜在 的 需求 资源 ， 而 且 能 发 现 这 些 需求 的 相 容 之 处 和 冲突 之 处 。 

4. 政治 上 的 因素 可 能 影响 系统 的 需求 。 管 理 者 可 能 提出 特别 的 需求 ， 因 为 这 些 将 会 使 他 们 
在 机 构 中 增加 影响 力 。 

5. 进行 需求 分 析 的 经 济 和 业务 环境 是 动态 的 。 在 分 析 过 程 期 间 它 不 可 避免 会 变化 。 因 此 ， 
个 别 需 求 的 重要 程度 可 能 改变 。 新 的 需求 可 能 从 新 的 信息 持 有 者 那里 得 到 。 

不 可 避免 的 是 ,不同 信息 持 有 者 对 于 需求 的 重要 性 和 优先 级 的 看 法 是 不 同 的 ， 有 时 这 种 不 
一 致意 见 还 可 能 是 冲突 的 。 在 这 个 过 程 中 ， 你 就 需要 组 织 信息 持 有 者 进行 定期 协商 来 达成 一 臻 
意见 。 不 太 可 能 让 每 一 个 信息 持 有 者 都 十 分 满意 ， 但 是 如 果 某 些 信息 持 有 者 感觉 到 他 们 的 意见 
没有 得 到 足够 的 重视 ， 他 们 就 有 可 能 蘑 意 去 破坏 需求 工程 过 程 。 

在 需求 描述 阶段 ， 所 导出 的 需求 以 一 种 有 助 于 进一步 需求 发 现 的 方式 进行 记录 。 在 这 个 阶 
段 , 产生 系统 需求 文档 的 一 个 早期 版 本 ,文档 中 可 能 遗漏 了 某 个 部 分 ， 也 可 能 是 不 完善 的 需求 。 
另外 一 种 做 法 是 ， 用 另 一 种 完全 不 同 的 方法 来 记录 需求 〈 例 如 ， 将 需求 记录 在 表格 或 卡片 上 ) 。 
将 需求 写 在 卡片 上 是 十 分 有 效 的 ， 因 为 它们 很 容易 供 信息 持 有 者 查阅 、 修 改 和 组 织 。 


Qu 


视点 是 一 种 收集 和 组 织 需求 的 方式 ， 这 些 需求 来 自 一 组 具有 共同 认 知 的 信息 持 有 者 。 因 
而 每 个 视点 包含 一 组 系统 需求 。 视 点 可 能 来 自 于 最 终 用户 、 管 理 者 等 。 视 点 帮助 识别 不 同 的 
人 ,， 这 些 人 能 够 提供 他 们 的 需求 的 信息 。 视 点 也 能 帮助 我 们 很 好 地 组 织 需求 以 便 进 行 分 析 。 
http ;// www. SoftwareEngineering-9. com/Web/Requirements/ Viewpoints. html 













4.5.1 需求 发 现 


需求 发 现 〈 有 时 称 为 需求 导出 ) 是 一 个 对 准备 建立 的 系统 和 正在 使 用 的 系统 进行 信息 收集 
并 从 这 些 信息 当 中 提取 用 户 需 求 和 系统 需求 的 过 程 。 需 求 发 现 阶段 的 信息 源 包括 : 已 有 文件 ， 系 
统 信息 持 有 者 ， 以 及 类 似 系统 的 相关 描述 。 我 们 与 信息 持 有 者 通过 交谈 和 观察 来 进行 交互 ， 我 们 
也 可 以 使 用 用 例 和 原型 的 方法 来 帮助 信息 持 有 者 有 效 地 理解 系统 。 
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信息 持 有 者 范围 很 广 ， 包 括 系统 的 最 终 用 户 到 管理 者 ， 还 包括 一 些 外 部 的 信息 持 有 者 ， 比 如 
认证 系统 可 接受 性 的 认证 人 员 。 例 如 ， 对 于 心理 健康 护理 病人 信息 系统 来 说 ， 系 统 的 信息 持 有 者 
包括 : 

1. 病人 ， 他 们 的 个 人 信息 被 记录 在 系统 中 ; 

2. 医生 ,负责 评估 和 治疗 病人 ; 

3. 护士 ,协调 医生 的 会 诊 和 管理 一 些 治疗 ; 

4. 分 诊 医生 ， 他 们 管理 病人 的 预约 ; 

5. IT 人 员 ， 人 负责 安装 和 维护 系统 ; 

6. 医德 管理 者 ， 他 们 必须 确保 系统 满足 当前 医疗 的 道德 方针 ; 

7. 保健 管理 者 ， 他 们 从 系统 中 获取 管理 信息 ; 

8 医疗 记录 保管 员 ， 他 们 要 确保 系统 信息 的 可 维护 性 、 可 保留 性 和 执行 步骤 记录 的 正确 
执行 。 

除了 系统 信息 持 有 者 之 外 ， 我 们 也 看 到 需求 还 来 自 于 应 用 领域 和 其 他 与 本 系统 有 交互 关系 
的 系统 。 所 有 这 些 在 需求 导出 过 程 中 都 需要 考虑 到 。 

这 些 需 求 源 〈 信 息 持 有 者 、 领 域 、 系 统 ) 都 可 以 用 系统 视点 来 表示 。 这 里 每 一 个 视点 代表 
一 个 系统 需求 的 子 集 。 一 个 问题 的 不 同 视点 会 用 不 同方 法 考虑 问题 ， 但 是 这 些 视 点 也 不 是 完全 
独立 的 ， 它 们 经 常 有 所 重 肆 ， 从 而 有 共同 的 需求 。 我 们 可 用 这 些 视点 来 构建 系统 的 需求 发 现 和 文 
档 编 制 。 


45.2 采访 


对 信息 持 有 者 的 正式 的 和 非 正式 的 采访 是 绝 大 多 数 需求 工程 过 程 的 组 成 部 分 。 在 这 些 采 访 
中 ， 需 求 工程 的 团队 成 员 会 向 信息 持 有 者 提出 一 系列 关于 他 们 所 正在 使 用 的 系统 和 将 要 开发 的 
系统 的 问题 ， 从 他 们 对 这 些 问 题 的 回答 中 就 能 了 解 系统 的 需求 。 采 访 可 能 有 两 种 类 型 ; 

1. 封闭 式 采 访 ， 即 信息 持 有 者 回答 一 组 预定 的 问题 ; 

2. 开放 式 采 访 ， 即 没有 一 个 预先 准备 好 的 程序 。 需 求 工程 团队 即兴 提问 ， 因 此 能 达到 对 他 
们 想 要 什么 有 一 个 更 深 的 了 解 。 

在 具体 实践 中 ， 对 信息 持 有 者 的 采访 这 两 种 方式 可 能 都 会 用 到 。 我 们 会 得 到 某 些 问题 的 回 
答 ， 但 是 这 些 回答 通常 会 引发 其 他 问题 ， 由 此 还 会 针对 这 些 新 问题 展开 比较 自由 的 讨论 。 完 全 自 
由 式 的 讨论 很 少 奏效 ; 绝 大 多 数 的 采访 需要 由 一 些 问题 来 开头 ， 并 保持 整个 讨论 过 程 集中 在 所 
有 开发 的 系统 上 。 

通过 采访 来 全 面 了 解 系统 信息 是 一 种 很 好 的 办 法 。 在 采访 中 我 们 可 以 了 解 信 息 持 有 者 是 如 
何 工作 的 ， 他 们 是 如 何 与 系统 进行 交互 的 ， 以 及 他 们 对 当前 系统 所 面临 的 问题 和 困难 等 。 人 们 很 
愿意 谈论 他 们 的 工作 ， 因 而 会 很 乐意 接受 采访 。 但 是 ， 对 于 应 用 领域 需求 ， 通 过 采访 的 方式 是 很 
难 获得 的 。 

很 难 从 采访 中 导出 领域 知识 ， 有 以 下 两 个 原因 

l. 所 有 的 应 用 专家 都 使 用 专业 术语 和 行 话 。 如 果 让 他 们 不 使 用 这 些 专用 术语 来 谈论 领域 需 
求 几 乎 是 不 可 能 的 。 他 们 通常 精确 微妙 地 使 用 这 些 专业 术语 ， 很 容易 让 需求 工程 师 误解 。 

2 有 些 领 域 知识 对 于 这 些 信 息 持 有 者 来 说 是 太 熟 悉 了 ， 以 至 于 他 们 要 么 是 难以 找到 合适 的 
词语 来 解释 ， 要 人 么 会 不 自觉 地 认为 这 些 概念 太 基本 ， 不 值得 去 解释 。 例 如 ， 对 于 图 书 管理 员 ， 将 
所 有 书籍 在 人 库 前 分 类 处 理 是 不 言 而 喻 的 事情 ， 但 是 ， 这 一 点 对 采访 者 来 说 却 不 是 显而易见 的 ， 
因此 ， 可 能 就 会 在 需求 中 忽视 掉 。 

采访 对 于 导出 机 构 需 求 和 约束 来 说 不 是 一 项 很 有 效 的 技术 ， 因 为 ， 在 机 构 中 不 同人 之 间 存 
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在 着 一 些 很 微妙 的 权力 关系 。 公 布 出 来 的 机 构 结 构 很 少 能 真正 反映 机 构 中 的 真实 的 决策 模式 ， 
被 采访 者 不 愿意 对 陌生 人 揭露 机 构 中 真实 的 一 面 。 通 常情 况 下 ， 大 部 分 人 不 愿 去 涉及 影响 需求 
的 这 些 政 治 和 机 构 因 素 。 

有 能 力 的 采访 者 通常 有 两 个 特征 : 

1， 他 们 思想 开放 ， 对 需求 没有 先 人 之 见 ， 而 且 很 愿意 听取 信息 持 有 者 的 意见 。 如 果 信 息 持 
有 者 提出 意外 的 需求 ， 他 们 愿意 主动 改变 自己 对 系统 原 有 的 看 法 。 

2. 他 们 会 用 基本 问题 、 需 求 建议 或 者 是 在 一 个 原型 系统 中 共同 工作 来 引导 被 采访 者 开始 讨 
论 。 简 单 的 提问 ， 比 如 , “告诉 我 你 需要 什么 ?”， 是 不 会 得 到 什么 有 价值 的 情报 的 。 绝 大 多 数 人 
都 认为 在 一 个 指定 的 情景 中 谈论 要 比 泛泛 地 讨论 容易 得 多 。 

通过 采访 所 获得 的 信息 补充 了 来 自 描述 业务 进程 或 当前 系统 文档 、 用 户 观察 以 及 其 他 手段 
所 获得 的 信息 。 有 时 ， 除 了 系统 文档 以 外 的 信息 ， 采 访 可 能 是 唯一 的 系统 需求 来 源 。 然 而 ,采访 
本 身 很 容易 漏 掉 一 些 基本 信息 ， 所 以 ,我 们 应 该 结合 其 他 需求 导出 技术 来 使 用 它 。 


4.5.3 脚本 


通常 ， 人 们 容易 把 事物 与 现实 生活 中 的 例子 相 联系 ， 而 不 容易 把 事物 与 一 个 抽象 描述 联系 
起 来 。 若 把 人 如 何 与 一 个 软件 系统 交互 用 一 个 脚本 的 方法 来 描述 的 话 ， 人 们 就 很 容易 理解 并 且 
评论 它 的 好 与 坏 。 需 求 工程 师 从 对 场景 的 评论 中 得 到 信息 ， 然 后 再 将 其 形式 化 地 表示 出 来 。 

当 把 细节 加 入 一 个 概要 需求 描述 中 时 ， 脚 本 (场景 ) 可 能 特别 有 用 。 脚 本 是 对 交互 实例 片 
段 的 描述 。 每 个 脚本 可 能 包含 一 个 或 多 个 可 能 的 交互 。 人 们 研究 出 多 种 不 同 的 脚本 形式 ， 它 们 能 
在 不 同 的 细节 层次 上 提供 不 同类 型 的 信息 。 

脚本 开始 于 一 个 交互 框架 ， 在 导出 过 程 中 ， 细 节 被 逐渐 增加 ， 直 到 产生 一 个 完整 的 交互 描 
述 。 在 绝 大 多 数 情况 下 ， 一 个 脚本 可 能 包括 以 下 内 容 : 

l. 在 脚本 的 开始 部 分 有 一 个 系统 和 用 户 期 望 的 描述 。 

2. 一 个 关于 标准 事件 流 的 描述 。 

3. 一 个 关于 可 能 出 错 的 位 置 以 及 如 何 处 理 错误 的 描述 。 

4. 有 关 其 他 可 能 在 同一 时 间 进 行 的 活动 的 信息 。 

5. 在 脚本 完成 后 系统 状态 的 描述 。 

基于 脚本 的 需求 导出 需要 与 信息 持 有 者 共同 识别 出 脚本 并 捕获 这 些 脚本 的 细节 。 可 以 用 文 
本 来 书写 脚本 ， 并 附带 图 和 屏幕 截图 等 。 还 有 一 种 较 结构 化 的 方法 ， 如 事件 脚本 法 或 用 例 法 也 可 
以 使 用 。 

作为 一 个 简单 的 文本 脚本 的 例子 ， 让 我 们 看 看 MHC-PMS 系统 用 户 是 如 何 使 用 系统 来 输入 数 
据 的 。 这 个 脚本 如 表 4-14 所 示 。 当 一 个 新 病人 进入 诊所 后 ， 分 诊 医 生 会 创建 一 条 记录 ,并 把 串 
者 信息 〈 姓 名 、 年 龄 等 ) 添加 进去 。 然 后 护士 会 接待 病人 并 收集 医疗 历史 记录 。 接 着 病人 与 医 
生 有 一 个 初步 的 会 诊 ， 医 生 为 其 诊断 ， 若 合适 并 会 为 其 推荐 一 套 治疗 方案 。 上 述 脚本 显示 了 当 医 
疗 历史 记录 收集 好 后 所 要 发 生 的 事件 。 


4.5.4 用 例 


用 例 是 一 种 需求 发 现 技 术 ， 这 种 技术 首先 是 在 Objectory 方法 (Jacobson 等 ，1993) 中 引入 
的 。 现 已 成 为 统一 建 模 语 言 的 一 个 基本 特征 。 一 个 最 简单 的 形式 是 ， 一 个 用 例 识别 在 一 个 交互 中 
所 参与 的 所 有 角色 并 命名 该 交互 类 型 。 然 后 还 会 附加 一 些 描述 系统 交互 的 额外 信息 。 这 些 信息 
可 能 是 文本 描述 或 是 一 个 或 多 个 图 形 化 模型 ， 例 如 UML 序列 图 或 状态 图 。 
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初始 假设 : 

病人 来 到 分 诊 医 生 面 前 ， 该 医生 已 经 在 系统 中 创建 了 一 条 记录 ， 并 收集 了 病人 的 个 人 信息 〈 姓 和 名、 地址 、 
年 龄 等 ) 。 一 名 护士 登录 到 系统 中 并 正在 收集 治疗 历史 信息 。 

正常 状态 : 

护士 通过 姓 来 查找 病人 ， 如 果 同 一 姓氏 有 多 个 病人 ， 就 要 用 到 病人 的 名 和 出 生日 期 来 查找 病人 信息 。 

护士 选择 菜单 选项 来 添加 治疗 历史 记录 。 

接着 护士 按照 一 系列 的 系统 提示 来 输入 信息 ， 这 些 信息 包括 : 有 关心 理 问题 的 其 他 就 诊 地 点 (自由 文本 输入 ) ， 现 
在 的 状况 〈 护 士 从 菜单 中 选择 ) ， 当 前 所 服药 物 〈 从 菜单 中 选择 ) ， 过 敏 史 〈 自由 输入 ) 和 家 庭 生活 (表格 )。 

有 哪些 会 出 错 : 

病人 的 记录 不 存在 或 不 能 找到 。 护 士 应 该 创建 一 条 新 纪录 并 记录 病人 个 人 信息 。 

在 菜单 中 没有 合适 的 病人 的 状况 或 所 服药 物 。 护 士 应 该 能 选择 其 他 选项 并 可 以 输入 自由 文本 来 描述 病人 的 
状况 或 所 服药 物 。 

病人 不 能 或 不 愿 在 医疗 历史 记录 中 提供 信息 。 护 士 应 该 输入 自由 文本 来 记录 该 病人 不 能 或 不 愿 提供 信息 。 
系统 应 该 打印 出 标准 的 缺 项 表格 来 叙述 那些 所 缺 信息 可 能 意味 着 治疗 会 被 限制 或 是 推迟 。 这 份 表格 应 该 由 病人 
签字 并 交 给 病人 。 

其 他 活动 : 

当 正 在 输入 信息 时 ， 其 他 职员 只 能 查阅 但 不 能 编辑 该 记录 。 

完成 的 系统 状态 : 

用 户 登录 。 将 包括 医疗 历史 记录 在 内 的 病人 记录 输入 到 数据 库 。 记 录 被 添加 到 系统 日 志 中 ， 系 统 日 志 显 示 

了 此 时 间 段 的 开始 和 结束 时 间 以 及 相关 的 护士 。 


图 4-14 在 MHC-PMS 例子 中 收集 治疗 历史 记录 的 脚本 
用 例 通过 一 个 高 层 用 例 图 记录 下 来 。 用 例 的 集合 代表 所 有 将 会 在 系统 需求 中 出 现 的 交互 。 
过 程 中 的 角色 可 能 是 人 ， 也 可 能 是 其 他 系统 ， 用 人 形 图 标 来 表示 。 每 一 个 交互 类 用 一 个 命名 的 椭 


圆 来 表示 。 用 例 和 交互 类 之 间 用 线 相连 。 也 可 以 选择 把 箭头 添加 在 连 线 一 端 ， 代 表 交 互 的 开始 方 
向 。 用 例 表示 方法 如 图 4-15 所 示 、 该 图 是 心理 健康 护理 病人 的 信息 系统 的 用 例 。 














图 4-15 MHC-PMS 的 用 例 


在 脚本 (故事 情景 ) 和 用 例 之 间 没 有 硬性 的 区 别 。 一 些 人 认为 一 个 用 例 就 是 一 个 单独 的 脚 
本 ， 如 Stevens 和 Pooley (2006) 所 建议 的 ， 一 个 用 例 封装 了 一 组 脚本 ， 每 个 脚本 是 用 例 中 的 一 
个 单个 线程 。 因此， 一 个 标准 的 交互 就 会 有 一 个 脚本 ， 每 个 可 能 的 异常 也 会 有 脚本 。 在 实践 中 ， 
我 们 可 以 用 其 中 任何 一 种 方法 使 用 它们 。 

用 例 识别 一 个 单个 交互 ， 这 是 系统 与 用 户 之 间或 是 系统 与 其 他 系统 之 间 的 交互 。 每 一 个 用 
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例 都 应 该 用 文本 记载 下 来 。 然 后 会 被 链接 到 其 他 给 出 更 详细 脚本 的 UML 模型 。 例 如 ， 可 以 这 样 
简单 描述 图 4-15 中 安排 会 诊 的 用 例 : 

安排 会 诊 允 许 两 个 或 更 多 的 医生 ， 在 不 同 的 办 公 区 的 同一 时 间 查 看 相同 的 记录 。 一 个 医生 
通过 从 医生 的 下 拉 菜 单 选择 一 个 在 线 的 医生 来 发 起 会 诊 。 病 人 记录 也 会 在 其 他 人 的 屏幕 上 显示 ， 
但 是 只 有 发 起 会 诊 的 那个 医生 可 以 编辑 此 记录 。 另 外 会 创建 一 个 文本 聊天 窗口 来 协调 动作 。 假 
定 一 个 音频 电话 会 议会 被 单独 建立 。 

对 于 从 直接 与 系统 交互 的 信息 持 有 者 处 导出 需求 来 说 ， 脚 本 和 用 例 是 有 效 的 技术 。 每 一 种 
交互 类 型 可 以 表示 为 用 例 。 然 而 ， 因 为 它们 集中 在 与 系统 的 交互 上 ， 它们 对 于 导出 约束 或 高 层 业 
务 以 及 非 功能 需求 抑或 是 领域 需求 发 现 都 是 不 奏效 的 。 

UML 对 于 面向 对 象 模型 来 说 是 一 个 约定 俗 成 的 标准 。 因 此 用 例 和 基于 用 例 的 导出 现在 被 广 
旗 应 用 于 需求 导出 中 。 在 第 5 章 中 会 进一步 讨论 用 例 ， 并 讲解 如 何 将 用 例 与 其 他 系统 模型 一 起 用 
于 系统 设计 的 文档 化 。 


4.5.5 深入 实际 


软件 系统 不 是 孤立 存在 的 ， 它 们 是 在 一 个 社会 和 机 构 的 环境 中 使 用 的 ， 软 件 需 求 来 自 于 这 
样 的 环境 和 受到 这 个 环境 的 制约 。 满 足 这 些 社会 的 和 机 构 的 需求 对 系统 的 成 功 是 至 关 重 要 的 ， 
许多 软件 系统 被 交付 但 是 从 未 使 用 过 ， 其 中 一 个 原因 就 是 他 们 的 需求 没有 正确 地 考虑 到 社会 和 
机 构 是 如 何 影响 系统 的 实际 运行 的 。 

深入 实际 是 一 项 能 用 来 了 解 操作 过 程 并 帮助 导出 这 些 过 程 支持 需求 的 观察 技术 。 分 析 人 员 
投身 到 待 用 系统 的 工作 环境 中 ， 通 过 观察 日 常 工作 并 记录 参与 者 相关 的 实际 任务 。 深 入 实际 的 
价值 是 它 能 帮助 发 现 隐 性 的 系统 需求 ， 这 些 需 求 是 反映 了 人 们 实际 的 工作 方式 ， 而 不 是 机 构 所 
定义 的 规范 化 过 程 。 

人 们 经 常 发 现 说 清楚 自己 的 工作 细节 是 件 非常 困难 的 事 ， 因 为 他 们 不 善 此 道 。 他 们 了 解 自 
己 的 工作 但 可 能 不 了 解 在 机 构 中 与 其 他 工作 之 间 的 联系 。 社 会 的 和 机 构 的 因素 对 工作 的 影响 对 
于 机 构 中 的 人 员 可 能 是 很 难 了 解 到 的 ， 只 有 从 一 个 没有 偏见 的 观察 者 眼中 才能 看 到 这 些 。 例如 ， 
一 个 工作 组 可 以 进行 自我 组 织 ， 这 样 组 员 就 可 以 知道 彼此 的 工作 情况 ， 如 果 某 个 人 缺席 还 可 以 
移交 任务 。 这 个 在 采访 中 也 许 不 会 被 提 及 ， 因 为 该 组 不 会 把 这 视 为 工作 中 整体 的 一 部 分 。 

Suchman (Suchman, 1987) 用 深入 实际 方法 来 研究 办 公 室 工作 ， 他 发 现实 际 的 工作 场景 具 
有 丰富 的 内 涵 ， 与 简单 的 被 办 公 室 自 动 化 假定 的 模型 相 比 要 复杂 和 动态 得 多 。 假 设 的 工作 模型 
和 真实 工作 的 不 同 是 造成 这 些 办 公 系 统 没有 对 生产 率 产生 重要 影响 的 最 重要 原因 。Crabtree 
(2003) 从 那 以 后 讨论 了 更 广 的 研究 领域 ， 并 大 体 上 描述 了 深入 实际 在 系统 设计 中 的 用 法 。 在 本 
书 作者 的 个 人 研究 中 ,调查 了 将 深入 实际 方法 与 软件 工程 过 程 集成 在 一 起 的 方法 ， 主 要 通过 两 
个 手段 : 一 是 将 深入 实际 方法 与 需求 工程 诸多 方法 联系 起 来 使 用 (Viller 和 Sommerville, 1999; 
Viller 和 Sommerville，2000) ， 二 是 通过 记录 在 协作 系统 中 的 交互 模式 (Martine $&, 2001; Martin 
$&, 2002; Martin 和 Sommerville , 2004) 。 

深入 实际 对 发 现 两 种 类 型 的 需求 特别 有 效 : 

1. 需求 来 自信 们 实际 的 工作 方式 而 非 过 程 定义 中 所 要 求 的 工作 方式 。 举例 来 说 ， 空 中 交通 
管制 员 可 能 关 掉 飞 机 冲突 警报 系统 ， 该 警报 系统 能 检测 飞机 是 否 在 交叉 航线 上 。 而 按 正 常 控 制 
流程 指定 此 警报 系统 是 应 该 使 用 的 。 他 们 故意 把 飞机 置 于 冲突 航道 中 短暂 时 间 ， 这 有 助 于 管理 
空域 。 他 们 设计 控制 策略 用 来 确保 飞机 在 问题 发 生 之 前 已 经 离开 ， 他 们 发 现 冲突 警报 分 散 了 他 
们 工作 的 注意 力 。 

2. 需求 来 源 于 合作 和 对 别人 活动 的 了 解 。 举 例 来 说 ， 空 中 交通 管制 员 可 能 通过 对 其 他 管制 
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员工 作 的 了 解 来 预知 将 要 飞人 他 们 控制 区 域 的 飞机 数量 ， 然 后 他 们 按 此 修改 控制 策略 。 因 此 ， 一 
个 自动 化 的 ATC 系统 应 该 允许 一 区 域 管制 员 能 看 到 相 邻 的 区 域 的 工作 状况 。 

深入 实际 方法 可 以 和 原型 法 结合 使 用 〈 见 图 4-16) 。 深 入 实际 法 能 告知 开发 原型 ， 使 原型 开 
发 中 所 需 的 精炼 循环 数 减少 。 此 外 ， 原 型 法 通过 识别 问题 和 疑问 并 和 深入 实际 的 人 员 一 起 讨论 
这 些 问 题 和 疑问 来 执行 深入 实际 法 。 他 (或 她 ) 应 该 在 系统 研究 的 下 个 阶段 寻找 问题 的 答案 
(Sommerville 等 ，1993 ) 。 





集中 听取 经 过 集中 的 
= l S i 





图 4-16 需求 分 析 的 深入 实际 方法 和 原型 法 


深入 实际 研究 能 暴露 关键 过 程 的 细节 ， 这 些 细节 时 常 被 其 他 需求 导出 技术 所 遗漏 。 然 而 ， 因 
为 它 集中 在 最 终 用 户 身上 ， 所 以 这 个 方法 不 总 是 适合 发 现 机 构 或 领域 的 需求 。 它 不 能 够 总 是 识 
别 出 系统 应 该 添加 的 新 特征 。 因 而 ， 深 入 实际 不 是 一 个 完全 的 需求 导出 方法 ， 它 应 该 和 其 他 方法 
结合 使 用 ， 如 用 例 分 析 。 
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需求 复查 是 个 过 程 ， 一 组 来 自 系 统 客 户 和 系统 开发 方面 的 人 员 详 细 地 阅读 需求 文档 并 检 
查 其 中 的 错误 、 蜡 常 和 不 一 致 性 。 一 旦 检查 出 任何 问题 并 记录 下 来 ， 接 着 客户 就 需要 和 开发 
人 员 协 商 如 何 解决 所 发 现 的 问题 。 

http://www. SoftwareEngineering-9. com/Web/Requirements/ Reviews. html 


4.6 需求 有 效 性 验证 


需求 有 效 性 验证 是 检验 需求 是 否 真正 按 客 户 的 意愿 来 定义 系统 的 过 程 。 它 和 需求 分 析 有 很 
多 共性 ， 都 是 要 发 现 需求 中 的 问题 。 需 求 有 效 性 验证 很 重要 ， 如 果 在 后 续 的 开发 或 当 系统 投入 使 
用 时 才 发 现 需求 文档 中 的 错误 ， 就 会 导致 更 大 代价 的 返工 。 

由 需求 问题 而 对 系统 做 出 变更 的 成 本 比 修改 设计 或 代码 错误 的 成 本 要 大 得 多 。 理 由 是 ， 需 
求 的 变更 总 是 带 来 系统 设计 和 实现 的 变更 ， 从 而 使 系统 必须 重新 测试 。 

在 需求 有 效 性 验证 过 程 中 ， 要 对 需求 文档 中 定义 的 需求 执行 多 种 类 型 的 检查 。 这 些 检 查 
包括 : 

1. 有 效 性 检查 ” 某 个 用 户 可 能 认为 系统 应 该 执行 某 项 功能 。 然 而 ， 进 一 步 的 思考 和 分 析 可 
能 发 现 还 需要 添加 额外 的 功能 ， 或 是 发 现 系统 需要 的 是 不 同 的 功能 。 系 统 有 很 多 不 同 的 用 户 ， 而 
这 些 用 户 可 能 需要 不 同 的 功能 ， 因 此 ， 任 何 一 组 需求 都 不 可 避免 地 要 在 不 同 用 户 之 间 协 商 。 

2. 一 致 性 检查 ”在 文档 中 ， 需 求 不 应 该 彼此 冲突 。 即 对 同一 个 系统 功能 不 应 出 现 不 同 的 描 
述 或 相互 矛盾 的 约束 。 

3. 完备 性 检查 ”需求 文档 应 该 包括 所 有 系统 用 户 想 要 的 功能 和 约束 。 

4. 真实 性 检查 ”基于 对 已 有 技术 的 了 解 ， 检 查 需 求 以 保证 需求 能 真正 实现 。 这 些 检查 还 要 
考虑 到 系统 开发 的 预算 和 进度 安排 。 
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5. 可 检验 性 检查 ”为 了 减少 在 客户 和 开发 商 之 间 可 能 的 争议 ， 系 统 需求 的 书写 应 该 总 是 使 
之 是 可 以 检验 的 。 这 意味 着 能 设计 出 一 组 检查 方法 来 验证 交付 的 系统 是 否 满足 每 一 个 定义 的 
需求 。 

有 许多 能 联合 使 用 或 单独 使 用 的 需求 有 效 性 验证 技术 ， 主 要 有 : 

1. 需求 评审 ”由 一 组 评审 人 员 对 需求 进行 系统 性 分 析 ， 主 要 是 错误 检查 和 不 一 致 性 检查 。 

2. 原型 建立 ”在 这 个 有 效 性 验证 方法 中 ， 为 客户 和 最 终 用 户 提供 一 个 可 执行 的 系统 模型 。 
他 们 能 在 这 个 模型 上 体验 从 而 检查 系统 是 否 符合 他 们 的 真正 需要 。 

3. 测试 用 例 生成 ”需求 应 该 是 可 测试 的 。 如 果 将 把 对 需求 的 测试 作为 有 效 性 验证 过 程 的 一 
部 分 ， 经 常会 发 现 需求 中 很 多 问题 。 如 果 一 个 测试 的 设计 很 困难 或 是 不 可 能 的 ， 那 通常 意味 着 需 
求 的 实现 将 会 很 困难 ， 应 该 对 此 重新 考虑 。 在 编写 任何 代码 之 前 就 对 用 户 需 求 开发 测试 用 例 是 
极限 编程 的 一 个 完整 部 分 。 

需求 有 效 人 性 验证 中 产生 的 问题 不 应 该 被 低估 。 最 终 论证 一 组 需求 实际 上 是 否 符 合 了 用 户 的 
需要 是 很 困难 的 。 用 户 需要 勾 表 出 系统 的 操作 过 程 并 构想 如 何 让 系统 符合 他 们 的 工作 。 即 使 是 
一 个 有 经 验 的 计算 机 专家 ， 做 这 种 抽象 的 分 析 工作 都 是 相当 困难 的 ， 更 何况 是 系统 用 户 了 。 因 
此 ,需求 的 有 效 性 验证 不 可 能 发 现 所 有 的 需求 问题 ， 在 需求 文档 被 确认 之 后 ， 不 可 避免 会 有 进 一 
步 的 需求 变更 来 更 正 遗 漏 和 误解 。 


4.7 需求 管理 . 


大 型 软件 系统 的 需求 总 是 在 变化 的 。 原 因 之 一 是 通常 要 开发 这 些 系 统 来 满足 埋 手 的 问题 ， 
这 些 问 题 不 可 能 被 完全 定义 。 因 为 问题 没有 被 完全 定义 ， 所 以 软件 需求 注定 是 不 完全 的 。 在 软件 
过 程 中 ， 信 息 持 有 者 对 问题 的 理解 是 在 不 断 变化 的 〈 见 图 4-17) ， 因 而 系统 需求 必须 要 相应 地 反 
映 这 些 对 间 题 观点 的 改变 。 

一 个 系统 一 旦 被 安装 并 被 正式 使 用 ， 就 会 不 可 避免 的 
产生 新 的 需求 。 对 于 用 户 和 系统 客户 来 说 ， 很 难 预料 新 系 
统 将 会 对 他 们 的 业务 过 程 和 工作 方法 产生 什么 影响 。 一 且 
最 终 用 户 对 系统 有 了 经 验 ， 他 们 就 会 发 现 新 的 需求 和 更 重 
要 的 需求 。 变 更 不 可 避免 会 出 现 的 原因 有 以 下 几 个 : 

1. 系统 业务 和 技术 环境 在 安装 之 后 总 是 在 发 生变 化 。 
新 的 硬件 可 能 被 引进 ， 系 统 与 其 他 系统 的 接口 是 必需 的 ， 图 4-17 需求 进化 
业务 优先 次 序 可 能 会 改变 (并 伴随 着 所 要 求 的 系统 支持 的 
变化 ) ， 新 的 立法 和 规章 制度 的 实行 使 得 系统 必须 做 相应 的 调整 。 

2. 系统 购买 者 和 系统 最 终 用 户 很 少 是 同一 人 。 系 统 客 户 可 能 因为 机 构 原 因 或 预算 约束 对 系 
统 提出 一 些 需求 ， 而 这 些 需 求 可 能 和 最 终 用 户 需 求 冲突 。 而 且 在 交付 之 后 ， 如 果 系 统 要 满足 目标 
要 求 ， 就 必须 加 入 新 的 功能 。 

3. 大 型 系统 通常 拥有 不 同 的 用 户 群 。 不 同 的 用 户 有 不 同 的 需求 和 优先 次 序 。 这 些 可 能 是 冲 
突 的 或 是 矛盾 的 。 最 终 的 系统 需求 不 可 避免 要 在 他 们 之 间 进 行 折 中 ， 随 着 经 验 的 积累 ， 对 不 间 用 
户 支持 上 的 这 种 平衡 需要 改变 。 

需求 管理 是 一 个 对 系统 需求 变更 了 解 和 控制 的 过 程 。 我 们 需要 跟踪 各 个 需求 并 维护 有 依赖 
关系 的 需求 之 间 的 联系 ， 这 样 我 们 就 能 够 评估 需求 变更 的 影响 。 我 们 需要 建立 一 个 形式 化 的 过 
程 来 形成 变更 建议 ， 并 将 它们 与 系统 需求 联系 起 来 。-- 旦 形成 了 需求 文档 的 草稿 版 本 ， 需 求 管理 
的 形式 化 过 程 就 应 该 开始 。 然 而 ， 我 们 也 应 该 开始 规划 在 需求 导出 过 程 中 如 何 管理 需求 变更 。 
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© 持久 性 和 昂 变性 需求 
某 些 需求 较 之 其 他 需求 更 容易 改变 。 持 久 性 需求 是 那些 与 核心 的 、 变 化 很 缓慢 的 机 构 活 
动 相 关联 的 一 类 需求 。 持 久 性 需求 与 基础 性 的 工作 活动 有 关 。 易 变性 需求 是 更 容易 改变 的 一 
类 需求 。 它 们 总 是 与 那些 反映 机 构 如 何 去 做 它们 的 工作 而 不 是 工作 本 身 的 一 些 支 持 性 活动 
相关 。 







http :// www. SoftwareEngineering-9. com/Web/Requirements/ EnduringReq. html 


4.7.1 需求 管理 规划 


规划 是 需求 管理 过 程 中 第 一 个 重要 阶段 。 规 划 阶 段 要 确定 需求 管理 所 需 的 细节 水 平 。 在 需 
求 管理 阶段 ， 必 须 决定 以 下 内 容 : 
1. 需求 识别 ”每 个 需求 要 有 一 个 唯一 的 标识 以 便 可 以 被 其 他 需求 交叉 索引 ， 同 时 可 以 用 到 


可 追溯 的 评估 中 。 
2. 变更 管理 过 程 ”这 是 一 组 对 变更 带 来 的 影响 和 成 本 进行 评估 的 活动 。 这 在 紧 接 的 一 节 中 
对 此 做 更 详细 的 讨论 。 


3. 可 追溯 策略 ”这 些 策略 定义 了 需求 之 间 的 关系 以 及 需求 和 系统 设计 之 间 的 关系 ,这 些 关 
系 是 要 被 记录 下 来 的 ， 对 此 要 给 出 记录 的 维护 方法 。 

4. 工具 支持 ”需求 管理 涉及 对 大 量 需 求 信息 的 加 工 。 可 以 使 用 的 工具 的 范围 很 广 ， 从 专家 
需求 管理 系统 到 电子 表格 和 简单 的 数据 库 系统 。 

需求 管理 需要 一 些 自 动 化 手段 的 支持 ， 在 规划 阶段 要 对 使 用 的 软件 工具 做 出 选择 。 需 要 用 
工具 支持 的 地 方 有 : 

L 需求 存储 ”需求 的 存储 应 该 是 安全 的 、 可 管理 的 ， 在 需求 工程 过 程 中 的 每 个 人 对 此 都 是 
可 以 访问 的 。 

2. 变更 管理 ”变更 管理 (A418) 的 过 程 若是 由 有 效 的 工具 来 支持 将 变 得 很 简单 。 

3. 可 追溯 性 管理 ”依照 上 面 的 讨论 ， 对 可 追溯 性 的 工具 支持 能 发 现 相 关 的 需求 。 一 些 使 用 
自然 语言 处 理 技术 的 工具 能 发 现 需求 之 间 可 能 的 关联 。 


om 
问题 「 问题 分 析 和 变更 分 析 和 需求 
变更 描述 成 本 计算 变更 实现 

图 4-18 需求 变更 管理 


对 于 小 型 系统 ， 可 能 不 必 使 用 专业 化 的 需求 管理 工具 。 需 求 管理 过 程 用 字 处 理 器 中 的 工具 、 
电子 表格 和 微机 数据 库 就 能 支持 。 然 而 ， 对 比较 大 的 系统 ， 更 多 专业 化 工具 的 支持 是 必需 的 。 本 
书 的 网 页 上 有 关于 需求 管理 工具 的 相关 信息 的 链接 。 


© armes 

你 需要 跟踪 需求 、 它 们 的 来 源 以 及 系统 设计 之 间 的 关系 ， 这样 你 就 能 分 析 所 提议 的 变更 
请 求 的 原因 以 及 变更 会 对 系统 其 他 部 分 造成 的 影响 。 你 需要 有 追踪 变更 是 如 何在 系统 中 扩散 
的 能 力 。 为 什么 ? 

http://www. SoftwareEngineering-9. com/Web/Requirements/ ReqFraceability. html 
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4.7.2 需求 变更 管理 


需求 变更 管理 ( 见 图 4-18) 应 该 应 用 到 需求 文档 被 确认 之 后 对 系统 需求 的 所 有 变更 提议 。 
变更 管理 是 极其 关键 的 ， 因 为 你 需要 决定 是 否 实现 一 个 新 需求 所 带 来 的 利益 相对 于 实现 它 所 需 
要 的 付出 是 合理 的 。 在 变更 管理 中 使 用 形式 化 过 程 的 好 处 是 ， 所 有 的 变更 提议 都 被 一 致 地 处 理 ， 
而 且 对 需求 文档 的 变更 是 在 一 种 可 控 的 方式 下 进行 的 。 

一 个 变更 管理 过 程 有 3 个 基本 阶段 : 

1. 问题 分 析 和 变更 描述 ”该 过 程 始 于 一 个 识别 出 来 的 需求 问题 或 是 一 份 详尽 的 变更 提议 。 
在 这 个 阶段 ， 要 对 问题 或 变更 提议 进行 分 析 以 检查 它 的 有 效 性 。 分 析 结 果 反 馈 给 变更 请 求 者 ， 请 
求 者 进而 产生 一 个 更 加 详尽 的 需求 变更 提议 或 是 取消 该 变更 请 求 。 

2. 变更 分 析 和 成 本 计算 ”使 用 可 追溯 性 信息 和 系统 需求 的 一 般 知 识 对 被 提议 的 变更 所 产生 
的 影响 进行 评估 。 变 更 的 成 本 估算 包括 对 需求 文档 的 修改 ， 而 且 在 适当 的 时 候 , 还 包括 系统 设计 
和 实现 。 一 旦 分 析 完 成 ， 就 有 了 对 此 需求 变更 是 否 执行 的 决策 意见 。 

3. 变更 实现 ”必要 的 话 ， 需 求 文档 以 及 系统 设计 和 实现 都 要 做 修改 。 要 对 需求 文档 进行 组 
织 ， 使 得 变更 不 会 带 来 大 量 文字 的 重 写 和 重组 。 与 程序 类 似 ， 文 档 的 可 追溯 性 是 通过 最 小 化 外 部 
引用 和 尽量 使 之 模块 化 来 实现 的 。 这 样 ， 就 可 以 修改 和 代替 个 别 部 分 而 不 会 影响 文档 的 其 他 
部 分 。 

如 果 必 须要 立即 实现 一 个 新 需求 ， 总 是 有 先 对 系统 做 变更 然后 再 回头 修改 需求 文档 的 想法 。 
应 该 尽力 避免 这 种 情况 ， 因 为 这 几乎 不 可 避免 地 导致 需求 描述 和 系统 实现 不 同步 。 一 旦 系统 变 
更 完成 ， 很 容易 忘记 变更 需求 文档 或 忘记 往 需 求 文档 里 添加 信息 ， 只 有 相应 的 文档 信息 得 到 更 
新 才能 保证 与 实现 是 一 致 的 。 

人 们 设计 了 敏捷 开发 过 程 ， 例 如 极限 编程 ， 以 应 对 在 开发 过 程 中 变更 需求 。 在 这 些 过 程 中 ， 
当 某 个 用 户 提出 一 个 需求 变更 时 ， 并 不 通过 一 个 形式 化 的 变更 管理 过 程 ， 而 是 用 户 必须 对 变更 
设置 优先 权 ， 如 果 它 有 一 个 很 高 的 优先 权 的 话 ， 我 们 就 要 决定 为 下 个 迭代 所 规划 的 哪些 系统 特 
征 应 该 被 取代 。 


要 点 


m 一 个 软件 系统 的 需求 描述 了 系统 应 该 做 什么 以 及 定义 系统 运行 时 和 实现 时 的 约束 。 

u 功能 需求 是 有 关系 统一 定 要 提供 的 服务 或 者 是 必须 执行 的 计算 的 描述 。 

m 非 功 能 需求 约束 所 开发 的 系统 和 所 采用 的 开发 过 程 。 它 们 可 能 是 产品 需求 、 机 构 需求 或 者 
是 外 部 需求 。 这 些 需 求 与 系统 的 总 体 特性 相关 ， 且 作用 于 系统 整体 。 

m 软件 需求 文档 是 经 过 认可 的 系统 需求 描述 。 它 应 该 被 很 好 地 组 织 ， 以 便 既 可 以 为 系统 客户 
使 用 又 可 以 为 软件 开发 者 使 用 。 

u 需求 工程 过 程 包括 可 行 性 研究 ， 需 求 导 出 和 分 析 ， 需 求 描述 ， 需 求 有 效 性 验证 和 需求 
管理 。 

m 需求 的 导出 和 分 析 是 一 个 反复 的 过 程 ， 可 以 看 做 是 一 种 螺旋 式 活 动 一 需求 发 现 ， 需 求 分 
类 和 组 织 ， 需 求 协商 和 需求 文档 化 。 

m 需求 有 效 性 验证 是 检查 需求 的 有 效 性 、 一 致 性 、 完 备 性 、 真 实 性 和 可 检验 性 。 

于 业务 、 组 机 机 构 和 技术 上 的 变更 不 可 避免 地 导致 软件 系统 需求 的 变更 。 需 求 管理 就 是 管理 
和 控制 这 些 变更 的 过 程 。 
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进一步 阅读 材料 


(Software Requirement, 2" ed. 》 这 是 一 本 为 编写 和 使 用 需求 的 人 设计 的 书 。 它 讨论 了 好 的 需 
RILKE (K. M. Weigers, 2003, Microsoft Press) 。 

(Integrated requirements engineering: A tutorial》 这 是 作者 写 的 一 篇 论文 ,讨论 了 需求 工程 活 
动 和 这 些 活动 如 何 与 现代 软件 工程 实践 相 适 应 (I Sommerville, IEEE Software, 22 (1), Jan-Feb 
2005), http: //dx. doi. org/10. 1109/MS. 2005. 13, 

(Master the Requirements Process》 这 是 一 本 基于 特别 方法 (VOLERE) 同时 也 包括 很 多 好 的 
关于 需求 工程 一 般 性 建议 的 书 ， 写 得 很 好 ， 而 且 容 易 阅 读 ( S. Robertson and J. Robertson, 2006, 
Addison-Wesley) 。 

(Research Directions in Requirements Engineering》 这 是 关于 需求 工程 研究 的 一 份 很 不 错 的 调 
查 ， 突 出 了 未 来 该 领域 研究 中 的 挑战 ， 提 出 了 像 规模 和 敏捷 这 样 的 问题 ( B. H. C. Cheng and 
J. M. Atlee, Proc. Conf on Future of Software Engineering, IEEE Computer society, 2007), http; // 
dx. doi. org/10. 1109/FOSE. 2007. 17, . 


练习 


4.1 找 出 对 基于 计算 机 的 系统 的 4 种 可 能 要 定义 的 需求 ， 并 简要 地 描述 之 。 

4.2 在 一 票务 系统 的 部 分 需求 描述 中 有 下 面 一 段 ， 请 找 出 其 中 的 二 义 语句 和 遗漏 的 地 方 : 
自动 票务 系统 能 够 发 售 火车 票 。 用 户 选择 他 们 的 目的 地 并 输入 信用 卡 以 及 个 人 身份 证 号 。 火 车 票 就 输 
出 了 ， 同 时 相应 费用 从 信用 卡 划 出 。 当 用 户 按 下 开始 按钮 ， 关 于 可 能 的 目的 地 菜单 就 显示 出 来 了 ， 同 
时 有 让 用 户 选 择 目 的 地 的 消息 给 用 户 。 一 旦 选择 了 目的 地 ， 系 统 就 请 求 用 户 输入 他 们 的 人 信用卡。 系统 
检验 卡 的 有 效 性 ， 然 后 请 求 用 户 输 入 个 人 身份 证 号 。 当 信用 交易 得 到 有 效 性 验证 ， 系 统 就 开始 出 
*1. 

4.3 使 用 在 本 章 中 给 出 的 结构 化 方法 重 写 上 述 的 描述 ， 以 一 些 适 当 的 方式 解决 被 识别 的 二 义 性 。 

44 为 上 面 提 到 的 票务 系统 写 出 一 组 非 功能 需求 ， 指 定 对 它 预 期 的 可 靠 性 和 反应 时 间 。 

45 使 用 这 里 建议 的 标准 方式 的 自然 语言 技术 ， 为 下 面 的 功能 写 用 户 和 需求: 
m 一 个 无 人 值守 的 汽油 (燃料 ) 泵 系统 ， 包 括 一 个 信用 卡 读 卡 机 。 客 户 刷卡 后 指定 所 要 的 数量 ， 燃 
料 开始 传输 ， 费 用 从 客户 账户 划 出 。 
m 银行 自动 柜员 机 中 的 现金 分 发 功能 。 
m 字 处 理 器 中 的 拼写 检查 和 改正 功能 。 

4.6 对 于 负责 提取 系统 需求 描述 的 工程 人 员 ， 如 何 搞 清 功 能 需求 和 非 功 能 需求 之 间 的 关系 ? 给 出 你 的 
建议 。 

47 利用 你 关于 自动 取款 机 的 使 用 知识 ， 设 计 一 组 用 例 ， 用 来 作为 理解 自动 取款 机 系统 需求 的 基础 。 

48 应 该 有 哪些 人 参与 需求 复查 ? 画 出 一 个 过 程 模型 来 说 明 需 求 复查 应 该 如 何 组 织 。 

4.9 当 系 统 必 须要 做 紧急 变更 时 ， 可 能 要 在 批准 需求 变更 之 前 对 系统 软件 做 出 修改 。 给 出 一 个 执行 这 些 修 
改 的 过 程 模型 ， 要 保证 需求 文档 和 系统 实现 的 一 致 性 。 

410 假设 你 刚 在 软件 客户 机 构 中 谋 得 一 份 工作 ， 该 软件 客户 又 正好 与 你 先前 的 老板 签订 了 一 份 系统 开 
发 合同 ， 你 可 能 发 现 你 现在 的 公司 和 先前 的 公司 对 需求 有 不 同 的 解释 。 讨 论 在 这 样 的 情形 中 你 应 
该 怎样 做 。 你 知道 如 果 二 义 性 不 被 解决 ， 你 目前 雇主 的 成 本 将 会 增加 。 你 也 有 对 先前 雇主 保密 的 
承诺 。 
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目标 
本 章 将 介绍 一 些 不 同类 型 的 系统 模型 ， 这 些 模 青 是 在 需求 工程 和 系统 设计 过 程 中 必须 建立 
的 模型 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 
m 理解 如 何 用 图 形 模型 来 表示 软件 系统 ; 
u 理解 为 什么 需要 不 同类 型 的 模型 以 及 基本 的 系统 建 模 角度 ， 如 上 下 文 、 交 互 、 结 构 、 行 
为 等 ; 
m 介绍 统一 建 模 语 言 (UML) 中 定义 的 一 些 图 表 类 型 ， 以 及 如 何在 系统 建 模 中 使 用 这 些 图 ; 
m 理解 模型 驱动 工程 中 包含 的 思想 ， 从 结构 模型 和 行为 模型 自动 地 生成 系统 。 


系统 建 模 就 是 建立 系统 抽象 模型 的 过 程 ， 每 一 个 模型 表示 一 个 系统 不 同 的 角度 或 方面 。 系 
统 建 模 通常 意味 着 用 一 些 图 形 符号 表示 系统 ， 现 在 几乎 都 是 用 统一 建 模 语言 (UML) 中 的 符号 。 
然而 ， 也 有 可 能 要 建立 系统 的 形式 化 〈 数 学 ) 模型 ， 其 通常 作为 详细 的 系统 描述 。 本 章 中 讲述 
使 用 UML 的 图 形 建 模 ， 在 第 12 章 会 讲述 形式 化 建 模 。 

在 需求 工程 过 程 中 使 用 模型 是 为 了 帮助 我 们 导出 系统 的 需求 ， 在 设计 过 程 中 使 用 模型 是 为 
了 向 实现 系统 的 工程 师 描述 系统 ， 并 且 实现 系统 之 后 还 要 用 模型 来 论证 系统 的 结构 和 操作 。 我 
们 可 能 要 建立 现 有 系统 和 将 要 开发 系统 两 个 系统 的 模型 。 

1. 在 需求 工程 中 要 用 到 现 有 系统 的 模型 。 它 们 给 我 们 阐释 现 有 系统 的 功能 ， 并 作为 讨论 系 
统 功能 扩展 和 不 足 的 基础 。 这 些 都 会 导出 新 系统 的 需求 。 

2. 在 需求 工程 中 使 用 新 系统 的 模型 有 助 于 解释 其 他 系统 信息 持 有 者 提出 的 需求 。 工 程 师 使 
用 这 些 模型 来 讨论 设计 想法 ， 并 为 系统 实现 进行 论证 。 在 模型 驱动 工程 过 程 中 ， 由 一 个 模型 有 可 
能 实现 一 个 完整 的 系统 ， 也 有 可 能 只 是 实现 系统 的 一 部 分 。 | 

系统 模型 的 很 重要 的 一 个 方面 是 在 于 它 摆脱 了 所 有 的 细节 内 容 。 系 统 模型 是 系统 的 一 个 抽 
象 而 不 是 它 的 一 种 替代 表现 。 理 想 情形 ， 系 统 的 一 种 表示 应 该 保持 所 要 表示 的 实体 的 所 有 信息 。 
一 个 抽象 是 千方百计 进行 简化 ， 以 便 找 出 最 突出 的 特征 。 例 如 ， 举 一 个 不 很 恰当 的 比喻 ， 如 果 将 
作者 的 这 本 书 在 报纸 上 连载 ， 那 刊登 出 来 的 应 该 是 本 书 要 点 的 一 个 摘要 内 容 ， 如 果 将 本 书 从 英 
语 翻译 成 意大利 语 版 本 ， 那 它 就 是 一 个 苦 代 表现 ， 翻 译 者 的 意图 是 将 英语 版 的 所 有 内 容 都 原封 
不 动 地 维持 过 来 。 这 些 模 型 可 以 从 不 同 的 角度 去 表述 系统 : 

1. 从 外 部 来 看 ， 它 是 对 系统 上 下 文 或 系统 环境 建 模 。 

2. 从 交互 上 看 ， 它 是 对 系统 与 环境 之 间或 是 一 个 系统 各 组 成 部 分 之 间 的 交互 建 模 。 

3. 从 结构 上 看 ， 它 是 对 系统 的 体系 结构 和 系统 处 理 的 数据 的 结构 建 模 。 

4. 从 行为 上 看 ， 它 是 对 系统 的 动态 行为 和 它 对 事件 的 响应 方式 建 模 。 

这 些 方面 与 Krutchen 提出 的 系统 体系 结构 的 4+ 1 角度 (Kruchten, 1995) 有 很 多 相似 之 处 ， 
Kruchten 认为 我 们 应 该 从 不 同方 面 来 论证 系统 的 体系 结构 。 在 第 6 章 中 我 们 将 会 来 讨论 这 种 4+1 
方法 。 

在 本 章 中 ,使 用 UML (Booch 等 ，2005; Rumbaugh 等 ，2004) 中 定义 的 图 ，UML 已 经 成 为 
面向 对 象 建 模 的 标准 建 模 语言 。UML 中 有 许多 类 型 的 图 ， 因 此 可 以 建立 许多 不 同类 型 的 系统 模 
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型 。 然 而 ， 在 2007 年 (Erickson 和 Siau, 2007) 做 的 一 个 调查 表明 : UML 的 大 部 分 使 用 者 认为 5 
种 类 型 的 图 就 可 以 表示 出 一 个 系统 的 本 质 : 

L 活动 图 ， 它 表示 一 个 过 程 或 数据 处 理 中 所 涉及 的 活动 。 

2. 用例 图 ， 它 表示 一 个 系统 和 它 所 处 环境 之 闻 的 交互 。 

3， 时 序 图 ， 它 表示 参与 者 和 系统 之 间 以 及 系统 各 部 分 之 间 的 交互 。 

4. 类 图 ， 它 表示 系统 中 的 对 象 类 以 及 这 些 类 之 间 的 联系 。 

”5. 状态 图 ， 它 表示 系统 是 如 何 响应 内 部 和 外 部 事件 的 。 

由 于 在 这 里 不 能 讨论 UML 中 的 所 有 图 类 型 ， 那 我 们 就 来 重点 看 一 下 在 系统 建 模 中 主要 使 用 
的 这 5 种 主要 类 型 的 图 。 

在 系统 建 模 时 ， 图 形 符号 的 使 用 通常 是 非常 灵活 的 ， 不 必 严 格 坚 持 符 号 的 细节 。 一 个 模型 的 
具体 程度 和 严格 程度 取决 于 我 们 想 怎样 来 使 用 系统 模型 。 图 形 建 模 通 常 有 3 种 用 途 : 

1. 为 讨论 现 有 系统 或 提出 新 功能 的 系统 提供 便利 。 

2. 论证 现 有 系统 。 

3， 作 为 详细 的 系统 描述 ， 该 描述 可 用 来 产生 系统 实现 。 

第 一 种 情况 下 ， 模 型 的 目的 是 促进 开发 系统 的 工程 师 之 间 的 讨论 ， 这 些 模型 可 能 并 不 完整 
(只 需 涵盖 讨论 的 要 点 即 可 ) ， 他 们 使 用 的 符号 可 能 也 不 正式 。 这 就 是 模型 在 所 谓 的 “敏捷 建 模 ” 
中 通常 的 使 用 方式 (Ambler 和 Jeffries，2002) 。 当 使 用 模型 来 进行 论证 时 ， 所 建 模型 不 必 是 完整 
的 ， 因 为 我 们 可 能 只 想 建立 一 个 系统 的 一 些 部 分 的 模型 。 然 而 ， 这 些 模型 必须 是 正确 的 ， 它 们 必 
须 正确 地 使 用 符号 ， 并 作为 系统 的 准确 描述 。 


© «sess 


统一 建 模 语言 中 有 13 种 不 同类 型 的 图 ， 它 们 用 来 为 软件 系统 建 模 。 它 是 20 世纪 90 年 代 
面向 对 象 建 模 的 成 果 ， 是 由 相似 的 面向 对 象 的 符号 集合 集成 而 得 的 ， 在 2004 年 经 过 一 次 较 大 
的 修订 之 后 被 确定 了 下 来 ， 也 就 是 UML2。UML 通常 被 认为 是 软件 系统 建 模 的 标准 语言 。 为 了 
支持 更 一 般 的 系统 建 模 ， 有 人 提出 了 不 同 的 建议 。 

http ;// www. SoftwareEngineering-9. com/Web/UML/ 











在 第 三 种 情况 下 ,模型 是 作为 以 模型 为 基础 的 开发 过 程 的 一 个 组 成 部 分 ， 系 统 模型 必须 是 
完整 且 正 确 的 。 这 是 因为 它们 是 产生 系统 源 代码 的 基础 。 因 此 ， 我 们 必须 非常 认真 以 避免 混淆 类 
似 的 符号 ， 比 如 stick 和 block arrowhead 所 表示 的 意思 是 不 同 的 。 


5.1 上 下 文 模型 


在 系统 描述 的 早期 阶段 ， 应 该 首先 界定 系统 的 边界 ， 与 系统 信息 持 有 者 一 起 明确 系统 应 具 
备 什么 样 的 功能 以 及 系统 环境 提供 了 什么 。 我 们 应 该 确保 系统 实现 对 一 些 业务 过 程 的 自动 支持 ， 
但 是 其 他 的 应 该 是 手工 过 程 或 是 由 不 同 的 系统 支持 。 我 们 应 该 查看 现 有 系统 在 功能 上 可 能 的 重 
， 合 部 分 ， 并 决定 应 该 在 哪里 实现 新 功能 。 我 们 应 该 在 过 程 的 早期 阶段 就 完成 这 些 判 断 ， 以 便 限制 
系统 成 本 以 及 分 析 系 统 需 求 和 设计 中 所 需要 花费 的 时 间 。 

在 许多 情况 下， 系统 与 环境 间 的 界限 是 相对 清楚 的 ， 例 如 ， 当 准备 用 一 个 自动 化 系统 去 取代 
现 有 的 手工 劳动 或 是 半自动 化 系统 时 ， 新 系统 的 环境 与 昌 系 统 的 环境 是 样 的 。 在 另外 一 些 情 
况 下 ， 却 有 许多 不 确定 性 ， 需 要 在 需求 分 析 过 程 中 不 断 认 识 。 

例如 ， 我 们 开发 一 个 心理 治疗 信息 管理 系统 。 这 个 系统 用 来 管理 来 心理 诊所 进行 心理 治疗 
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的 病人 以 及 治疗 的 信息 。 在 开发 该 系统 的 描述 时 ， 必 须 明 确 这 个 系统 是 否 只 用 来 收集 咨询 信息 
的 (用 其 他 系统 收集 病人 的 个 人 信息 ) ， 还 是 也 收集 病人 的 个 人 信息 。 用 其 他 系统 管理 病人 信息 
的 好 处 是 可 以 避免 信息 的 重复 。 然 而 ， 这 样 做 最 大 的 不 便 是 ， 可 能 会 降低 访问 信息 的 速度 。 如 果 
这 些 系统 不 能 被 访问 ， 那 么 就 不 能 使 用 MHC-PMS T. 

定义 系统 的 边界 是 有 意义 的 ， 由 于 社会 和 机 构 的 原因 ， 系 统 边界 的 确定 充满 了 非 技术 性 因 
素 。 比 如 ， 必 须 精确 定位 系统 的 边界 ， 使 得 分 析 过 程 可 以 完全 在 一 个 地 点 完成 ; 也 可 能 需要 使 系 
统 分 析 避 开 与 某 个 难以 相处 的 管理 者 的 沟通 ; 或 者 使 得 成 本 增长 、 部 门 必须 扩张 才能 完成 系统 
的 设计 和 实现 。 

系统 边界 一 旦 确定 ， 接 下 来 的 部 分 分 析 活动 就 是 定义 系统 上 下 文 和 系统 与 环境 之 间 的 依赖 
关系 ， 一 般 而 言 ， 在 这 个 活动 中 ,第 一 步 是 建立 一 个 简单 的 体系 结构 模型 。 

图 5-1 是 一 个 简单 的 上 下 文 模型 ， 它 描述 了 病人 信息 系统 以 及 它 所 处 环境 中 的 其 他 几 个 系 
统 。 从 图 5-1 可 以 看 出 MHC-PMS 与 一 个 预约 系统 和 一 个 更 一 般 的 病人 记录 系统 相连 以 共享 信息 。 
此 外 。 这 个 系统 还 与 管理 报告 系统 、 医 院 床位 分 配 系统 以 及 收集 信息 以 供 研 究 的 系统 相连 。 最 
后 ， 利 用 一 个 处 方 系统 生成 病人 用 药 的 处 方 。 

上 下 文 模型 通常 表示 某 一 环境 包括 几 个 其 他 
的 自动 系统 ， 然 而 它们 却 没有 描述 其 他 子 系统 之 病人 记录 系统 
间 的 以 及 待 描述 的 系统 与 它们 之 间 的 关联 关系 的 
类 型 。 外 部 系统 可 能 产生 数据 供 该 系统 使 用 ， 同 
时 也 使 用 该 系统 生成 的 数据 。 这 些 周边 子 系统 可 
能 与 该 系统 共享 数据 ， 可 能 与 系统 直接 相连 ， 或 


通过 网 络 相连 ， 或 者 根本 就 不 连 在 一 起 。 在 空间 | noti xd 


上 ， 这 些 子 系统 可 能 与 该 系统 同 在 一 处 ， 也 可 能 





分 处 在 不 同 的 建筑 物 中 ， 所 有 这 些 因素 都 将 影响 
系统 的 需求 和 设计 ， 必 须 加 以 考虑 。 

因此 ， 简 单 的 上 下 文 模型 要 同 其 他 模型 结合 mo MECTMS RAN EFX 
在 一 起 使 用 ， 比 如 业务 过 程 模 型 。 它 们 描述 使 用 了 特有 的 软件 系统 的 人 工 或 自动 化 的 处 理 过 程 。 

图 5-2 是 一 个 重要 的 系统 过 程 的 模型 ， 它 展示 了 MHC-PMS 的 应 用 过 程 。 有 时 ， 患 有 心理 健 
康 问 题 的 病人 对 别人 或 自己 都 有 可 能 造成 危害 。 因 此 他 们 必须 被 强制 隔离 在 医院 以 获得 治疗 。 
这 样 的 隔离 是 受 严 格 的 法 律 保护 的 。 比 如 ， 必 须 定 期 重新 考虑 是 否 对 病人 继续 进行 隔离 以 免 其 
被 无 限期 地 隔离 。MHC-PMS 的 其 中 一 个 功能 就 是 确保 实现 这 样 的 保护 。 

图 5 了 2 是 一 个 UML 活动 图 。 活 动 图 用 来 表示 组 成 一 个 系统 过 程 的 活动 并 控制 活动 间 的 控制 
流 。 过 程 开 始 用 实心 圆 表 示 ， 过 程 结束 用 套 在 另 一 个 圆 中 的 实心 加 表示 。 圆 边 和 矩形 表示 活动 ， 也 
就 是 必须 得 到 执行 的 一 个 子 过 程 。 在 活动 图 中 可 以 包括 对 象 ， 图 52 给 出 了 可 以 用 来 支持 不 同 过 
程 的 系统 ， 它 们 是 分 离 的 系统 ， 使 用 UML 固有 特性 。 

在 UML 活动 图 中 ， 箭 头 表 示 各 活动 间 的 工作 流 ， 实 心 条 表示 各 活动 间 的 协调 关系 ， 当 来 自 
多 个 活动 的 流 导向 一 个 实心 条 时 ， 那 么 只 有 这 些 活 动 均 完成 时 过 程 才 能 进行 。 当 来 自 实心 条 的 
流 导 向 多 个 活动 时 ， 这 些 活动 应 同时 执行 。 因 此 ， 在 图 52 中， 通知 社会 监护 部 门 和 病人 最 近亲 
属 以 及 更 新 注册 3 个 活动 是 同步 的 。 

在 箭头 旁边 可 用 条 件 注释 来 说 明 流 的 发 生 条 件 。 在 图 5-2 中 ， 就 是 使 用 注释 表示 对 社会 构成 
威胁 和 没有 构成 威胁 的 两 种 病人 的 不 同 流向 情况 。 对 社会 构成 威胁 的 病人 必须 被 隔离 在 安全 场 
所 。 然 而 ， 那 些 有 自杀 倾向 的 、 即 对 他 们 自己 构成 威胁 的 病人 就 应 该 被 隔离 在 医院 中 合适 的 病 
BB. . 
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图 5-2 非 自愿 隔离 的 过 程 模型 


5.2 交互 模型 


所 有 系统 都 会 涉及 一 些 交 互 。 有 可 能 是 用 户 交 互 ， 与 用 户 输入 输出 有 关 ; 有 可 能 是 正在 开发 
的 系统 与 其 他 系统 之 间 的 或 是 系统 各 部 分 之 间 的 交互 。 为 用 户 交 互 建 模 主 要 是 因为 它 有 助 于 我 
们 识别 用 户 需求 。 为 系统 与 系统 间 的 交互 建 模 应 将 重点 放 在 可 能 产生 的 交流 问题 上 。 为 系统 各 
部 分 之 间 的 交互 建 模 有 助 于 我 们 分 析 所 提出 的 系统 结构 能 否 实现 系统 所 需 的 功能 及 其 可 靠 性 。 

在 本 节 中 ， 将 讲述 两 种 相关 的 交互 建 模 的 方法 : 

1. 用 例 建 模 ， 该 方法 主要 用 来 为 系统 与 外 部 参与 者 〈 用 户 或 其 他 系统 ) 之 间 的 交互 建 模 。 

2. 时 序 图 ， 该 方法 用 来 为 系统 各 部 分 之 间 的 交互 建 模 ， 尽 管 也 包括 一 些 外 部 因素 。 

用 例 模 型 和 时 序 图 在 不 同 细节 程度 上 表示 交互 ， 因 此 可 能 在 一 起 使 用 。 高 水 平 用 例 所 表示 
的 交互 的 细节 可 能 在 时 序 图 中 得 到 刻画 。UML 中 的 交流 图 也 可 以 对 交互 建 模 ， 但 因为 它们 是 时 
序 图 的 不 同 表示 形式 ， 所 以 在 这 里 就 不 讨论 交流 图 了 。 实 际 上 ， 可 利用 一 些 工具 将 时 序 图 生成 交 
流 图 。 


5.2.1 用 例 建 模 


用 例 建 模 最 早 是 在 20 世纪 90 年 代 由 Jacobson 等 (1993) 所 提出 并 收录 在 UML 第 1 版 
(Rumbaugh 等 ，1999) 中 的 。 在 第 4 章 中 已 经 知道 ， 用 例 建 模 被 广泛 用 于 支持 需求 导出 。 一 个 用 
例 可 以 被 当做 一 个 简单 的 脚本 (情景 )， 用 来 描述 用 户 对 系统 功能 的 期 望 。 

每 一 个 用 例 表示 一 个 具体 的 任务 ， 涉 及 与 系统 的 外 部 交互 。 在 其 最 简单 的 形式 中 ， 用 例 用 一 
个 椭圆 表示 ， 参 与 者 用 一 个 小 人 儿 表 示 。 图 5-3 表示 了 MHC-PMS 中 的 一 个 用 例 ， 它 代表 的 任务 
是 将 MHC-PMS 中 的 数据 上 传 给 一 个 更 通用 的 病人 信息 记录 系统 。 这 个 更 通用 的 系统 仅仅 存储 病 
人 的 简单 数据 信息 ， 而 不 包含 每 一 次 咨询 的 信息 ， 后 者 记录 在 MHC-PMS 中 。 

可 以 看 出 在 这 个 用 例 中 有 两 个 参与 者 : 传递 数据 的 操作 员 和 病人 信息 记录 系统 。 这 种 小 人 


最 早 是 用 来 表示 人 与 人 之 闻 的 交互 的 , 但 是 现在 也 被 

用 来 表示 其 他 外 部 系统 和 硬件 。 正 常情 况 下 ，UML 中 g <> yq 

的 用 例 图 用 不 带 箭头 的 直线 表示 信息 流动 方向 ， 很 明 ”分 诊 医生 病人 记录 系统 
g, 用例 中 的 信息 是 双向 传递 的 。 然 而 ,图 5-3 中 随意 图 5-3 ”传输 数据 的 用 例 
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地 使 用 箭头 ， 这 是 为 了 表示 分 诊 医 生 启 动 了 此 事务 并 且 数 据 是 传 向 病人 信息 记录 系统 的 。 

用 例 图 所 给 出 的 只 是 交互 非常 简单 的 概要 ， 所 以 我 们 必须 提供 更 多 的 细节 才能 理解 交互 的 
内 容 。 这 些 细节 或 许 是 一 个 简单 的 文本 描述 ,或 者 是 一 个 表格 形式 的 结构 化 描述 ,或 许 是 下 面 即 
将 讨论 的 时 序 图 。 我 们 应 该 根据 用 例 ， 即 根据 用 例 本 身 和 所 需 的 细节 层次 ， 选 择 最 为 合适 的 格 
式 。 有 一 个 标准 的 表格 格式 使 用 起 来 最 为 便利 ， 图 5-4 给 出 了 “传输 数据 ”用 例 的 此 种 表格 
描述 。 


MHC-PMS: 传输 数据 
分 诊 医生 ， 病 人 记录 系统 (PRS) 


分 诊 医 生 会 将 数据 从 MHC-PMS 系统 传递 给 更 通用 的 病人 记录 数据 库 ， 该 数据 库 由 卫生 主管 部 
门 维护 。 信 息 传递 也 许 是 更 新 个 人 信息 〈 地 址 、 电 话 等 ) ， 也 许 是 简短 记录 病人 的 诊断 和 诊治 

















病人 的 个 人 信息 ， 治 疗 摘要 
由 分 诊 医 生发 出 的 用 户 指令 


来 自 关于 PRS 已 经 更 新 的 确认 信息 


分 诊 医生 必须 具有 适当 的 信息 安全 许可 以 便 访问 病人 的 信息 和 PRS 系统 




















图 5-4 用 例 “ 传 输 数 据 ” 的 表格 描述 


在 第 4 章 中 已 经 知道 ， 复 合用 例 可 以 表示 许多 不 同 的 用 例 。 有 时 ， 可 能 仅 用 一 个 复合 用 例 图 
就 可 以 包括 一 个 系统 所 有 可 能 的 交互 。 然 而 ， 由 于 用 例 数 量 可 能 很 多 ， 一 个 复合 用 例 图 可 能 无 法 
包含 系统 中 所 有 的 交互 。 在 这 种 情况 下 ， 就 需要 建立 几 张 图 ， 每 一 张 表 示 几 个 相关 的 用 例 。 比 
in, B 5-5 表示 了 MHC-PMS 中 的 所 有 用 例 ， 其 中 包括 参与 者 “分 诊 医生 ”。 





图 5-5 “分 诊 医生 ”角色 的 用 例 


5.2.2 时 序 图 


UML 中 的 时 序 图 最 初 是 用 来 为 参与 者 与 系统 对 象 之 间 的 交互 和 对 象 与 对 象 之 间 的 交互 建 模 
的 。UML 中 的 时 序 图 的 语法 非常 丰富 ， 因 此 时 序 图 可 以 对 许多 不 同 种 类 的 交互 建 模 。 由 于 不 能 
对 所 有 可 能 性 加 以 六 述 ， 在 这 里 就 着 重 讲述 一 下 时 序 图 的 基础 。 

顾名思义 ,时序 图 表示 在 特定 用 例 中 的 交互 发 生 顺 序 。 图 5-6 是 一 个 时 序 图 的 例子 ， 它 体现 
了 这 种 符号 的 基本 内 容 。 这 个 图 为 显示 病人 信息 用 例 中 所 涉及 的 交互 建 模 ， 在 用 例 中 分 诊 医 生 
可 以 看 到 一 些 病 人 信息 。 
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Medical $e 


Deme] [reso D: | D: MHCPMS-DB | DB AS: Authorization 


ViewiInfo (PID) Report (Info, PID, | 


LN OK] Patient Info 
. 









Authorize (Info, 


| 
t 
| 
UID) | 














Authorization 


[Authorization Fail] 






Error (No Access) 


图 5-6 查看 病人 信息 系统 的 时 序 图 


涉及 的 对 象 和 参与 者 列 在 图 表 顶 端 ， 向 下 垂直 画 一 条 虚线 。 对 象 之 间 的 交互 用 带 注释 的 箭 
头 表示 。 虚 线 上 的 矩形 表示 相关 对 象 的 生命 线 (比如 对 象 实例 运行 所 需 时 间 ) ， 从 上 向 下 为 交互 
的 顺序 。 箭 头 上 的 注释 表示 对 对 象 的 调用 、 它 们 的 参数 ， 以 及 返回 值 。 在 这 个 例子 中 ， 还 使 用 了 
表示 选择 的 符号 。 名 为 alt 的 框 在 方 括号 中 所 表示 的 条 件 下 使 用 。 

读者 可 以 照 下 面 顺序 阅读 图 5-6: 

1. 分 诊 医生 触发 对 象 类 PatientInfo 的 对 象 实例 P 中 的 ViewInfo 方法 ， 提 供 病 人 的 标识 符 PID, 
P 是 用 户 接口 对 象 ， 它 以 一 个 表格 形式 表示 病人 信息 。 

2. 对 象 实例 P 调用 数据 库 返 回 所 需 信 息 。 提 供 分 诊 医生 的 标识 符 以 允许 进行 安全 测试 (在 
此 阶段 ， 我 们 无 须 关 心 UID 的 由 来 ) 。 

3. 数据 库 使 用 某 权限 系统 测试 用 户 是 否 具备 执行 此 动作 的 权限 。 

4. 如 果 有 此 权限 ， 返 回 病人 信息 并 以 填充 表格 的 形式 显示 在 用 户 屏幕 上 。 和 否则 返回 错误 信 
息 提 示 。 

图 5-7 又 给 出 了 一 个 时 序 图 的 例子 ， 这 个 时 序 图 与 图 5-6 中 的 时 序 图 描述 的 是 同一 个 系统 ， 
不 过 在 其 基础 上 增加 了 两 项 特征 ， 也 就 是 系统 中 参与 者 间 的 直接 通信 并 创建 对 象 作为 操作 序列 
中 的 一 部 分 。 此 例 中 ， 创 建 了 一 个 Summary 类 的 对 象 来 存储 即将 上 传 给 病人 信息 记录 系统 的 摘要 
数据 。 我 们 可 以 按 下 面 的 顺序 阅读 图 5-7 : 

1， 分 诊 医 生 登 录 病 人 信息 记录 系统 。 

2. 有 两 个 选择 可 供 选取 。 将 更 新 的 病人 信息 直接 传递 给 PRS， 或 将 MHC-PMS 中 的 健康 摘要 
数据 传递 给 PRS。 

3. 在 每 一 个 事例 中 ， 都 会 用 权限 系统 检测 分 诊 医 生 的 权限 。 

4. 用 户 接口 对 象 中 的 私人 信息 可 以 直接 传递 给 PRS， 或 者 先 在 数据 库 中 建立 一 项 摘要 记录 ， 
然后 将 此 记录 传递 给 PRS, 

5， 传 递 一 完成 ，PRS 会 发 出 一 个 状态 信息 ， 接 着 用 户 与 系统 断 开 。 

除非 我 们 要 用 时 序 图 来 生成 代码 或 建立 详细 文档 ， 否 则 不 必 在 图 中 涵盖 所 有 的 交互 。 如 果 
你 在 开发 过 程 初期 建立 系统 模型 来 支持 需求 工程 和 高 层 设计 ， 那 么 依据 具体 的 实现 要 求 将 会 有 
许多 的 交互 。 比 如 ， 在 图 S-7 中 决定 如 何 用 用 户 ID 来 检测 权限 这 个 问题 就 是 可 以 向 后 推迟 的 。 
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在 实现 过 程 中 ， 这 可 能 涉及 与 用 户 对 象 的 交互 ， 但 这 在 此 阶段 并 不 重要 ， 所 以 就 不 需要 包括 在 此 
时 序 图 中 了 。 


Medical Receptionist PRS 


| | | 


Login ( ) 





Updatelnfo( ) 
Update PRS (UID 


Update (PID) 


Message (OK) | [™ 77777----- 


[Sendsummary] 


UpdateSummary( 


Summarize (UID ) 





Message (OK) 


| | | | | 
图 5-7 传输 数据 的 时 序 图 









Q 面向 对 象 的 需求 分 析 
在 面向 对 象 的 需求 分 析 过 程 中 ， 使 用 对 象 美 对 现实 世界 中 的 实体 建 模 。 我 们 有 可 能 会 寻 
立 多 个 不 同类 型 的 对 象 模型 ， 有 的 用 来 表示 对 象 类 之 间 是 如 何 联系 的 ， 有 的 用 来 表示 如 何 将 


对 象 聚 合 在 一 起 产生 其 他 对 象 ， 有 的 用 来 表示 对 象 与 对 象 是 如 何 交 互 的 ， 等 等 。 每 一 个 模型 
都 表示 与 所 描述 系统 的 独特 信息 。 


http://www. SoftwareEngingeeing-9. com/Web/OORA/ 
9.3 结构 模型 


软件 的 结构 模型 表示 的 是 系统 的 构成 ， 表 示 为 组 件 构成 系统 以 及 组 件 之 间 的 关系 。 有 的 结 
构 模型 是 静态 模型 ， 表 示 系 统 设计 的 结构 ;有 的 是 动态 模型 ， 表 示 系 统 执行 时 的 构成 。 这 两 者 是 


mom 系统 建 模 - 


不 同 的 。 系 统 的 动态 结构 是 交互 线程 的 集合 ， 与 描述 系统 组 成 部 分 的 静态 模型 有 很 大 的 不 同 。 

我 们 建立 结构 模型 以 讨论 和 设计 系统 体系 结构 。 系 统 的 体系 结构 的 设计 是 软件 工程 中 的 一 
个 非常 重要 的 问题 。 当 建立 体系 结构 模型 时 ，UML 组 件 包 和 部 署 图 都 可 能 用 到 。 在 第 6、18、19 
章 中 将 讲述 软件 体系 结构 的 不 同方 面 和 软件 体系 结构 建 模 。 在 本 节 ， 主 要 讲述 类 图 在 软件 体系 
中 对 象 类 的 静态 结构 建 模 方面 的 应 用 。 


5.3.1 类 图 


当 开 发 面向 对 象 的 系统 模型 时 ， 我 们 用 类 图 来 表示 系统 中 的 类 和 这 些 类 之 间 的 关联 。 不 严 
格 地 讲 ， 对 和 象 类 可 以 认为 是 某 种 系统 对 象 的 一 般 定义 。 所 谓 关联 就 是 类 与 类 之 间 的 链接 ， 表 示 类 
与 类 之 间 具 有 的 某 种 关系 。 因 此 ， 每 一 个 类 都 必须 包含 与 它 有 联系 的 类 的 一 些 信息 。 | 

在 软件 工程 过 程 的 前 期 阶段 ， 当 你 要 开发 模型 时 ， 我们 用 对 象 来 表示 现实 世界 的 事物 ， 比 如 
病人 、 处 方 、 医 生 等 。 在 系统 实现 阶段 ,我 们 总 是 需要 定义 额外 的 实现 对 象 ， 它 们 用 来 提供 所 需 
要 的 系统 功能 。 在 这 里 ， 强 调 的 是 对 现实 世界 中 的 对 象 的 建 模 ， 以 反映 一 部 分 需求 或 前 期 软件 设 
计 过 程 。 

UML 中 的 类 图 可 表示 为 不 同 的 细节 层次 。 当 我 们 要 建立 模型 时 ， 第 一 步 通 常 是 观察 世界 ， 
确定 重要 对 象 ， 然 后 将 它们 表示 成 类 。 最 简单 的 方法 是 将 类 名 写 人 方 框 中 ， 还 可 以 简单 地 用 直线 
将 两 个 类 连接 起 来 表示 存在 的 关联 。 比 如 ， 图 5-8 就 是 一 个 简单 类 图 ， 该 类 图 中 有 两 个 类 Patient 
和 Patient Record ， 并 且 这 两 个 类 之 间 存 在 关联 。 . 

图 5-8 说 明了 类 图 的 另外 一 个 特征 一 一 能 够 表示 出 有 多 少 个 1 1[ Patient 
对 象 参 与 这 种 关联 当中 。 在 这 个 例子 中 ， 关 联 的 每 一 端 都 标识 了 [ren | 
一 个 “1”， 意 思 是 这 两 个 类 的 对 象 之 间 是 1 对 1 的 关系 ， 也 就 是 图 5-8 UML 类 和 关联 
说 ， 一 个 病人 只 能 有 一 项 记录 ， 而 一 项 纪录 也 只 能 存储 一 个 病人 
的 信息 。 在 下 面 例子 中 会 看 到 ， 还 有 许多 其 他 可 能 的 关系 ， 我 们 可 以 定义 对 象 的 具体 数目 ， 也 可 
以 像 图 5-9 中 所 示 的 那样 ， 用 “ * ”表示 联系 中 所 涉及 的 对 象 的 数目 不 确定 。 

”图 539 所 建 类 图 表明 类 Patient 的 对 象 还 和 许多 其 他 类 有 联系 。 这 个 例子 表明 我 们 可 以 对 联系 
命名 以 便 给 读者 一 些 类 之 间 关 系 类 型 的 提示 。UML 也 人 允许 为 参与 关联 的 对 象 指派 角色 。 
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图 5-9  MHC-PMS 中 的 类 和 关联 


在 这 个 细节 层次 上 的 类 图 看 起 来 像 是 语义 数据 模型 。 语 义 数据 模型 在 数据 库 设 计时 使 用 ， 
它们 表示 数据 实体 、 与 它们 相关 的 属性 ， 以 及 实体 之 间 的 关系 。 这 种 建 模 的 方法 是 在 20 世纪 70 
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年 代 由 Chen (1976) 第 一 次 提出 来 的 。 此 后 发 生 了 几 次 变化 (Codd, 1979; Hammer 和 McLeod, 


1981; Hull 和 King，1987) ， 但 基本 格式 都 是 一 样 的 。 


UML 中 并 没有 包括 一 套 专门 的 符号 系统 服务 于 数据 库 建 模 ， 这 是 因为 它 假设 所 采用 的 过 程 
是 面向 对 象 的 开发 过 程 ， 并 且 使 用 对 象 以 及 它们 之 间 的 关联 为 数据 建 模 。 然 而 ， 我 们 可 以 使 用 
UML 表示 语义 数据 模型 。 我 们 可 以 把 语义 数据 模型 中 的 实体 看 做 是 简化 (不 含有 操作 ) 了 的 对 
象 类 ,把 属性 看 做 是 对 象 类 属性 ， 把 关系 看 做 是 对 象 类 间 的 命名 的 关联 。 


在 表示 类 与 类 之 间 的 关联 时 ， 用 尽 可 能 最 简单 的 方法 表示 这 些 类 
可 能 会 给 我 们 带 来 很 大 的 便利 。 只 要 我 们 增加 所 定义 的 类 的 细节 ， 就 
会 增加 它们 的 属性 〈 对 象 的 特性 ) 和 操作 〈 从 对 象 中 可 请 求 的 东西 ) 
信息 。 比 如 ， 一 个 Patient 对 象 如 果 含 有 属性 Address， 那 么 我 们 就 要 
添加 一 个 Change Address 操作 ， 这 在 病人 变换 地 址 时 调用 。UML 是 通 
过 扩展 表示 类 的 简单 矩形 的 方式 表示 类 的 属性 和 操作 的 。 图 5-10 给 
了 一 个 示例 : 

1. 对 象 类 的 类 名 位 于 最 上 端 。 

2. 类 的 属性 位 于 中 间 部 分 ， 其 中 属性 名 是 必须 有 的 ， 属 性 类 型 
不 作 强 制 要 求 。 

3. 与 对 象 类 中 的 操作 (在 Java 和 其 他 面向 对 象 编程 语言 中 叫 方 
法 ) MPR PR. 

图 5-10 给 出 了 类 Consultation 可 能 涉及 的 属性 和 操作 。 在 此 例 中 ， 
假定 用 录音 整理 来 记录 咨询 的 详细 情形 。 开 处 方 时 ， 相 关 医 生 必 须 使 
用 开 处 方 方 法 Prescribe () 来 生成 电子 处 方 。 


5.3.2 泛 化 


Consultation 












Medication Prescribed 
Treatment Prescribed 
Voice Notes 






Transcribe ( ) 


图 5-10 Consultation 类 


泛 化 是 一 项 常用 技术 ， 我 们 用 这 种 技术 来 管理 复杂 性 。 我 们 并 不 是 去 学 习 我 们 所 经 历 的 每 
一 个 实体 的 所 有 细节 特性 ， 而 是 用 更 一 般 的 类 (比如 ， 动 物 、 汽 车 、 房 子 等 ) 来 表示 它们 ， 然 
后 研究 这 些 类 的 性 质 。 这 样 就 允许 我 们 推断 这 些 类 的 成 员 具 有 某 些 共同 的 特征 En, ARA 


老鼠 都 是 哮 齿 动物 ) 。 我 们 可 以 针对 类 的 所 有 成 员 给 出 一 般 性 的 描述 。 


在 系统 建 模 中 ， 检 查 系 统 中 的 类 ， 看 看 它们 是 否 还 有 继续 泛 化 的 空间 ， 这 通常 是 有 用 的 。 这 
意味 着 共同 的 信息 仅 被 保持 在 一 个 位 置 。 这 是 很 好 的 设计 习惯 ， 因 为 当 发 生变 更 时 ， 我 们 就 不 必 


观察 系统 中 的 所 有 类 看 它们 是 否 受到 变更 的 影响 。 
在 面向 对 象 语言 中 ， 比 如 Java, BALAK 
在 语言 中 的 类 继承 机 制 来 实现 的 。 

UML 中 有 专门 的 关联 类 型 来 表示 泛 化 ， 如 
图 5-11 中 所 表示 的 。 泛 化 用 指向 上 面 更 一 般 的 
类 的 箭头 表示 。 这 表明 一 般 的 从 业者 和 住院 话 
生 可 被 泛 化 为 医生 ， 冲 共有 3 种 类 型 的 住院 医生 
(Hospital Doctor); 刚 从 医学 院 毕 业 的 ， 工 作 中 
还 必须 被 监督 的 实习 医生 (Trainee Doctor); T. 
作 上 不 需要 监督 并 且 是 会 诊 队伍 的 主要 成 员 的 
注册 医师 ( Registered Doctor) ; 还 有 会 诊 医 生 
(Consultant) ， 他 们 是 对 所 做 决定 负 全 责 的 高 级 


Consultant 


Hospital 
Doctor 
/N 





Trainee 
Doctor 










General 
Practitioner 
Qualified 
Doctor 









医师 。 图 5-11 泛 化 层次 结构 
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在 泛 化 关系 中 ， 更 高 层次 上 的 类 中 的 属性 和 操作 也 是 较 低 层次 上 的 类 的 属性 和 操作 。 简 
言 之 ， 低 层次 的 类 是 子 类 ， 它 继承 了 它们 的 超 类 的 属性 和 操作 。 这 些 低层 次 类 然后 添加 其 他 
专门 属性 和 操作 。 例 如 ， 所 有 的 医生 都 有 一 个 名 字 和 电话 号 码 ， 所 有 住院 医生 都 有 一 个 工 号 
和 部 门 ， 但 一 般 从 业者 不 具有 这 些 属 性 ， 因 为 他 们 是 独立 工作 的 。 但 是 他 们 有 一 个 从 业 诊 所 
名 和 地 址 ， 如 图 5-12 所 示 。 图 5-12 表示 的 是 医生 泛 化 层次 的 一 部 分 ， 其 中 对 类 扩充 了 类 属 
性 。 与 医生 类 相关 联 的 操作 是 为 了 注册 和 注销 MHC-PMS 中 的 医生 。 


Name 






Phone # 
E-mail 


Register ( ) 
De-Register ( ) 
/\ 


Hospital Doctor General Practitioner 


Staff # Practice 
Pager # Address 


图 5-12 添加 了 细节 的 泛 化 层次 结构 

















5.3.3 聚合 


现实 世界 中 的 对 象 通常 是 由 不 辣 部 分 组 成 。 比 如 ， 上 课 用 的 学 习 包 可 能 由 书 、 幻 灯 片 、 测 试 
题 以 及 深度 阅读 建议 组 成 。 有 时 ， 在 系统 模型 中 ， 我们 需要 家 
示 这 种 关系 。UML 提供 了 一 种 叫做 聚合 的 特殊 类 型 的 关联 。 它 ter 
意味 着 一 个 对 象 (相当 于 全 体 ) 可 以 由 其 他 对 象 (相当 于 部 
分 ) 组 成 。 为 了 表示 这 种 关系 ， 我 们 用 与 类 相 邻 的 萎 形 表示 全 
体 ， 如 图 5-13 所 示 。 图 5-13 表示 一 条 病人 记录 由 Patient 和 一 个 
不 确定 的 Consultation 组 成 。 


5.4 行为 模型 






图 5$-13 ”聚合 关联 
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行为 模型 是 描述 系统 运行 时 的 动态 行为 的 模型 ， 表 示 当 系统 响应 应 来 自 所 处 环境 的 刺激 时 所 


发 后 的 或 有 可 能 发 生 的 事情 。 这 样 的 刺激 有 两 种 : 
1. 数据 ”一些 数据 到 达 必须 由 系统 处 理 。 
2. 事件 某 些 触发 系统 处 理 的 事件 发 生 。 事 件 可 能 会 有 相关 联 的 数据 ， 但 并 不 总 是 这 样 。 


© usn 
数据 流 图 (DFD) 是 个 系统 模型 ， 它 是 从 功能 角度 描述 系统 ， 每 一 个 变换 代表 一 个 单独 
的 函数 或 过 程 。 DFD 用 来 表示 数据 是 如 何在 一 系列 处 理 过 程 中 流动 的 。 比 如 ， 一 个 处 理 过 程 
可 能 是 过 滤 客 户 数据 库 中 重复 的 记录 。 数 据 在 经 过 每 一 步 时 被 转换 一 次 然后 流向 下 一 阶段 。 
这 些 处 理 步骤 或 转换 表示 软件 过 程 或 函数 ， 这 里 用 数据 流 图 来 表达 软件 设计 。 
http://www. SoftwareEngineering-9. com/Web/DFDs 
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许多 业务 系统 是 主要 由 数据 驱动 的 数据 处 理 系 统 ， 它 们 由 输入 数据 所 控制 ， 很 少 处 理 外 部 
事件 。 它 们 的 处 理 包含 一 系列 在 那些 数据 上 的 动作 以 及 输出 的 生成 。 比 如 ， 一 电话 账单 系统 将 接 
受用 户 拨打 电话 的 信息 、 计 算 电 话费 用 ， 并 产生 发 送 给 用 户 的 账单 。 相 对 而 言 ， 实 时 系统 主要 处 
理事 件 而 很 少 涉及 数据 处 理 。 比 如 ， 有 线 电 话 切换 系统 响应 如 “接收 方 占线 ”事件 的 方法 是 产 
生 一 个 拨号 音 ， 而 响应 按键 事件 的 方法 是 捕获 电话 号 码 ， 等 等 。 


5.4.1 数据 驱动 的 建 模 


数据 驱动 模型 描述 一 个 动作 序列 ， 该 动作 序列 涉及 输入 数据 的 处 理 和 相关 输出 的 产生 。 在 
需求 分 析 过 程 中 ， 数 据 驱动 模型 非常 有 用 ， 因 此 它们 可 用 来 表示 系统 中 端 到 端的 过 程 。 也 就 是 
说 ， 数 据 驱 动 模型 表示 一 个 完整 的 动作 序列 ， 从 输入 处 理 开 始 到 相关 输出 的 产生 ， 输 出 可 以 看 成 
是 系统 的 响应 。 

数据 驱动 模型 是 最 早 的 图 形 化 软件 模型 之 一 。 在 20 世纪 70 年代， 结构 化 的 方法 ， 比 如 
DeMarco 的 结构 化 分 析 (DeMarco, 1978) ， 引 入 了 数据 流 图 (DFD) 并 将 其 作为 一 种 表示 系 
统 中 处 理 步 又 的 方法 。 数 据 流 模型 有 用 是 因为 它 跟踪 并 记录 了 与 一 个 特别 过 程 相关 的 数据 是 
如 何 通过 这 个 系统 的 ， 这 有 助 于 帮助 分 析 人 员 和 设计 人 员 理 解 正在 发 生 什 么 。 数 据 流 图 不 但 
简单 而 且 直 观 ， 另 外 数据 流 图 还 有 可 能 被 潜在 的 系统 用 户 所 理解 ， 然 后 参与 到 模型 验证 模型 
的 过 程 中 。 

当 DFD 最 初 被 提出 来 并 用 于 数据 过 程 建 模 时 ，UML 不 支持 数据 流 图 。 原 因 是 DFD 关注 
的 是 系统 功能 而 不 识别 系统 对 象 。 然 而 ， 因 为 数据 驱动 系统 在 业务 中 太 常 用 了 ， 所 以 UML 
2.0 引入 了 与 数据 流 图 类 似 的 活动 图 。 比 如 ， 图 5-14 表示 了 胰岛 素 泵 软件 中 的 处 理 链 。 在 
此 图 中 ， 我 们 可 以 看 到 处 理 步 双 (用 活动 表示 ) 和 在 这 些 步 又 之 间 流 动 的 数据 (用 对 象 表 


m). 
Blood Sugar - Compute Blood Sugar 
Sensor Sugar Level Level 


Calculate 
Insulin 
Delivery 
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Calculate 
Pump 
Commands 


Control Pump Control 
Pump Commands 


图 5-14 ”胰岛素 泵 操作 过 程 


还 有 一 种 表示 系统 处 理 序列 的 方法 ， 就 是 使 用 UML 的 时 序 图 。 我 们 已 经 知道 了 如 何 用 这 种 
图 对 交互 建 模 ， 但 是 ， 如 果 我 们 只 让 信息 从 左 向 右 传 递 ， 那 么 它们 所 表示 的 就 是 系统 中 序列 化 的 
数据 处 理 过 程 ， 如 图 5-15 所 示 。 图 5-15 用 了 一 个 时 序 模型 表示 对 订单 的 处 理 并 发 送 给 供应 商 。 
顺序 模型 强调 系统 中 的 对 象 ， 而 数据 流 图 关注 的 是 功能 。 订 单 处 理 的 等 价 的 数据 流 图 在 本 书 网 
页 上 有 图 示 。 


5.4.2 事件 驱动 模型 


事件 驱动 模型 表示 系统 对 内 外 部 事件 的 响应 方式 。 下 面 讨 论 是 以 一 个 假设 为 基础 的 ， 即 系 
统 状态 是 有 限 的 ， 并 且 事 件 〈 激 励 ) 可 能 引起 从 一 种 状态 向 另 一 种 状态 的 转变 。 比 如 ， 当 控制 
阀门 的 系统 接收 到 操作 员 的 指令 (激励 ) 时， 可 能 从 状态 “阀门 开 ” 变 为 状态 “阀门 闭 "。 这 种 
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5-15 ”订单 处 理 过 程 


系统 观点 特别 适合 于 实时 系统 。 基 于 事件 的 模型 方法 被 引入 到 实时 设计 方法 中 ， 比 如 Ward 和 
Mellor (1985) 以 及 Harel (1987, 1988) 所 提议 的 方法 。 

UML 通过 使 用 状态 图 支持 基于 事件 的 模型 ， 所 用 状态 图 以 Harel 所 提出 的 Statecharts ( Harel , 
1987, 1988) 为 基础 变化 而 来 的 。 状 态 图 表示 系统 状态 和 引起 状态 改变 的 事件 。 状 态 图 不 表示 系 
统 中 的 数据 流 ， 但 可 能 包括 在 每 一 状态 中 所 执行 运算 的 附加 信息 。 

下 面 使 用 一 个 非常 简易 的 微波 炉 的 控制 软件 来 阐述 一 下 事件 驱动 建 模 ， 真 实 的 微波 炉 通 常 
比 这 个 系统 要 复杂 得 多 ， 但 为 了 容易 理解 ， 我 们 将 系统 简化 了 。 这 个 简单 的 微波 炉 有 一 个 用 来 选 
择 全 功率 和 半 功 率 的 开关 ， 一 个 供 我 们 输入 豪 饪 时 间 的 数字 键盘 ， 一 个 开始 /停止 按钮 ， 一 个 能 
显示 字母 和 数字 的 显示 器 。 

我 们 假定 使 用 微波 炉 的 动作 顺序 为 : 

1. 选择 功率 水 平 〈 半 功率 或 全 功率 ) 。 

2. 用 数字 键盘 输入 京 饪 时 间 。 

3. 按 下 开始 按钮 ， 豪 饪 食物 到 指定 的 时 间 。 

出 于 安全 原因 ， 微 波 炉 在 没 关 炉 门 时 不 能 工作 ， 并 且 亮 饪 一 完成 ， 就 要 响起 蜂 鸣 声 。 微 
波 炉 有 一 个 非常 简单 的 能 显示 字母 和 数字 的 显示 器 ， 该 显示 器 被 用 来 显示 各 种 警报 和 警告 
信息 。 

在 UML 状态 图 中 ， 圆 边 矩形 代表 系统 状态 ， 其 中 可 能 包括 此 状态 中 所 执行 动作 的 简单 描述 
(以 “Do” 引 出 ) 。 带 标签 的 箭头 代表 促使 系统 从 一 种 状态 变 为 另 一 种 状态 的 激励 因素 。 如 在 活 
动 图 中 一 样 ， 用 实心 圆 表示 状态 开始 和 状态 结束 。 

从 图 5-16 可 以 看 出 ， 系 统 开始 时 处 于 等 待 状态 ， 全 功率 或 半 功 率 按钮 都 可 使 系统 发 生 响 应 ， 
当 使 用 者 选择 其 中 一 个 按钮 后 可 以 改变 想法 按 下 另外 一 个 按钮 。 设 置 好 时 间 并 且 关 上 炉 门 ， 就 
可 以 按 下 开始 按钮 ， 然 后 微波 炉 就 开始 工作 一 直到 设 定 的 时 间 。 等 到 一 个 豪 饪 周期 完成 ， 系 统 回 
到 等 待 状态 。 . 

我 们 使 用 UML 符号 来 表示 在 一 个 状态 中 所 发 生 的 活动 。 在 详细 的 系统 描述 中 ， 我 们 必须 提 
供 更 多 有 关 激 励 因 素 和 系统 状态 方面 的 细节 。 图 5-17 以 表格 的 形式 描述 了 微波 炉 系 统 的 每 一 个 
状态 和 促使 系统 状态 发 生 改 变 的 激励 因素 。 
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E 5-16 微波炉 的 状态 图 








描 OR 
微波 炉 等 待 输入 ， 显 示 器 显示 当前 时 间 
微波 炉 的 功率 设置 为 300W， 显 示 为 “ 半 功 率 ” 
微波 炉 的 功率 设置 为 600W， 显 示 为 “全 功率 ” 
豪 饪 时 间 设 置 为 用 户 输入 值 。 显 示 器 显示 所 选择 的 豪 饪 时 间 ， 当 更 改 输入 时 更 新 显示 
为 了 安全 起 见 ， 微 波 炉 操 作 被 屏 项 。 炉 内 灯光 点 亮 


— 微波 护 操作 重新 可 用 ， 炉 内 灯光 熄灭 。 显 示 器 显示 “准备 就 绪 " 


微波 炉 工作 。 炉 内 灯 点 亮 。 显 示 器 显示 逐渐 减少 的 时 间 。 当 豪 饪 完成 ， 蜂 鸣 吕 将 响 5 
秒 。 炉 内 灯 持 续 亮 着 。 在 蜂 鸣 器 响 的 同时 显示 器 显示 ， 亮 任 完成 ” 






























设置 时 间 























用 户 按 下 半 功 率 按钮 
用 户 按 下 全 功率 按钮 
用 户 按 下 某 个 定时 器 按钮 
用 户 按 下 某 个 数字 键 
微波 炉 门 开关 没有 关闭 








































门 关闭 微波 炉 门 开关 关闭 
m FUSE T abt 
用 户 按 下 了 取消 按 锯 











图 5-17 微波 炉 的 状态 和 激励 
以 状态 为 基础 的 建 模 遇 到 的 问题 是 状态 的 数量 可 能 急剧 增加 。 因 此 ， 对 于 大 的 系统 模型 ， 我 
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们 需要 在 模型 中 隐藏 一 些 细节 。 其 中 一 种 方法 就 是 使 用 超 态 (superstate) 的 概念 ， 超 态 是 封装 
了 多 个 独立 的 状态 而 得 到 的 一 种 状态 。 这 种 超 态 看 起 来 像 一 个 高 层 模型 中 单独 的 一 个 状态 ， 但 
是 之 后 会 在 一 个 独立 图 中 被 扩展 来 表示 更 多 的 细节 。 为 了 表述 这 个 概念 ， 图 5-18 给 出 了 图 5-16 
中 操作 状态 的 一 个 可 扩展 的 超 态 。 







Do: Check 
Status 





Cancel 


Æ 5-18 ”微波 炉 操 作 


运行 状态 包括 许多 子 状态 。 图 中 表明 操作 开始 首先 进行 状态 检测 ， 当 检测 到 任何 问题 时 都 
会 有 警告 显示 ， 并 且 操 作 失 败 。 豪 饪 过 程 即 让 微波 产生 器 运行 所 指定 的 时 间 ， 豪 饪 一 旦 完成 ， 就 
会 响起 蜂 鸣 声 。 正 如 图 5-16 所 示 的 ， 如 果 在 操作 过 程 中 ， 炉 门 被 打开 ， 则 系统 变 为 不 可 操作 
状态 。 


5.5 模型 驱动 工程 


模型 驱动 工程 (ME) 是 软件 开发 的 一 种 方法 ， 在 这 种 方法 中 ， 模 型 而 不 是 程序 成 为 开发 
过 程 中 的 主要 输出 (Kent, 2002; Schmidt，2006)。 在 硬件 /软件 平台 上 执行 的 程序 会 由 模型 自 
动 生成 。MDE 的 支持 者 认为 这 样 做 提高 了 软件 工程 的 抽象 水 平 ， 使 得 工程 师 不 必 再 去 关心 编程 
语言 的 细节 或 执行 平台 的 特性 。 

模型 驱动 工程 起 源 于 模型 驱动 体系 结构 ， 这 是 在 2001 年 由 对 象 管理 集团 (OMG) 提出 来 
的 ， 并 被 作为 一 种 新 的 软件 开发 范例 。 模 型 驱动 工程 和 模型 驱动 体系 结构 通常 被 认为 是 同一 个 
东西 ， 然 而 ，MDE 涉及 面 比 MDA 要 宽 一 些 。 本 节 稍 后 会 讲 到 ，MDA 关注 的 是 软件 开发 中 的 设 
计 和 实现 阶段 ， 而 MDE 关心 软件 工程 的 所 有 方面 。 因 此 ， 像 以 模型 为 基础 的 需求 工程 ， 软 件 开 
发 过 程 以 及 测试 问题 都 是 MDE 所 涉及 的 问题 ， 而 目前 还 没有 用 MDA 来 解决 这 些 问 题 。 

尽管 MDA 从 2001 年 就 已 经 开始 使 用 ， 但 以 模型 为 基础 的 工程 仍 停留 在 开发 的 早期 阶段 ， 并 
且 它 对 软件 工程 的 开发 是 否 会 产生 重要 影响 也 是 不 明确 的 。 下 面 是 人 们 对 MDE 的 两 种 不 同 看 法 : 

1. 支持 者 ”认为 以 模型 为 基础 的 工程 允许 工程 师 在 更 高 的 抽象 水 平 上 考虑 系统 ， 而 不 用 关 
心 它 们 实现 的 细节 。 这 样 减少 了 出 错 的 可 能 性 ， 加 速 了 设计 和 实现 过 程 ， 并 且 支 持 可 复 用 的 、 具 
有 独立 平台 的 应 用 模型 的 建立 。 通 过 使 用 强 有 力 的 工具 ， 同 一 模型 所 表示 的 系统 可 以 在 不 同 平 
台 上 被 实现 。 因 此 ， 为 了 让 系统 适应 一 些 新 的 平台 技术 ， 只 需要 为 那个 平台 写 一 个 翻译 器 。 当 这 
些 实现 时 ， 所 有 具有 独立 平台 的 模型 都 可 以 迅速 地 在 新 平台 上 实现 。 
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2. 反对 者 ”认为 ， 模 型 是 一 种 很 好 的 便于 讨论 软件 设计 的 方法 。 然 而 ， 这 并 不 是 说 模型 所 
支持 的 抽象 都 是 正确 的 、 能 够 实现 的 抽象 。 所 以 ， 我 们 可 能 建立 非 形式 化 的 设计 模型 ， 但 在 其 后 
却 使 用 商业 现货 软件 实现 系统 。 另 外 ， 对 于 平台 独立 性 的 讨论 ， 只 有 对 大 的 长 生命 周期 的 系统 才 
成 立 。 这 时 平台 在 系统 生存 期 中 逐渐 被 抛弃 。 然 而 ,对 于 这 类 系统 ,我 们 知道 其 主要 的 问题 不 是 
实现 一 一 需求 工程 、 信 息 安全 性 和 可 依赖 性 、 与 遗留 系统 的 集成 以 及 测试 ， 这 些 更 为 重要 。 

Æ OMG 网 页 (www. omg. org/mda/products success. htm) 上 有 很 多 MDE 的 成 功 使 用 案例 ， 并 
且 这 种 方法 在 像 BM 和 西门 子 这 样 的 大 公司 中 也 有 使 用 。 这 种 技术 已 经 在 航空 管制 系统 这 样 长 
周期 的 软件 系统 开发 过 程 中 得 到 成 功 应 用 。 然 而 ， 到 目前 为 止 ， 模 型 驱动 方法 还 没有 广泛 用 于 软 
件 工程 。 像 将 在 第 12 章 中 讲述 的 形式 化 方法 之 于 软件 工程 ，MDE 将 是 一 种 重要 的 开发 方法 ， 然 
而 ， 也 正 是 如 形式 化 方法 的 情形 ， 我 们 现在 不 清楚 模型 驱动 方法 的 成 本 和 风险 是 否 会 超过 它 给 
我 们 带 来 的 便利 。 


5.5.1 模型 驱动 体系 结构 


模型 驱动 体系 结构 (Kleppe 等 ，2003; Mellor 等 ，2004; Stahl 和 Voelter, 2006) 是 一 种 以 模 
型 为 中 心 进 行 软件 设计 和 实现 的 方法 ， 它 使 用 UML 模型 的 子 集 来 描述 系统 。 在 这 里 需要 建立 不 
同 抽象 层次 的 模型 。 原 则 上 ， 对 于 一 个 高 水 平 的 平台 独立 的 模型 来 讲 ， 在 没有 人 为 干预 情况 下 产 
生 一 个 工作 程序 是 有 可 能 的 。 

MDA 方法 认为 应 该 产生 3 种 类 型 的 抽象 系统 模型 。 

1. 计算 独立 模型 (CIM) ， 此 模型 为 系统 中 使 用 的 重要 的 领域 抽象 建 模 。CIM 有 时 也 被 称 为 
领域 模型 ， 我 们 可 能 建立 几 个 不 同 的 CIM 来 反映 系统 的 不 同方 面 。 比 如 ， 安 全 CIM， 其 中 定义 了 
比如 资产 、 角 色 等 一 些 重要 的 安全 抽象 概念 ; 病人 信息 记录 CIM， 其 描述 的 是 病人 、 会 诊 等 一 些 
抽象 概念 。 

2. 平台 独立 模型 (PIM) ， 此 模型 在 没有 它 的 实现 作为 参考 下 为 系统 的 运行 建 模 。 我 们 通常 
使 用 UML 模型 来 描述 PIM, UML 模型 表示 静态 系统 结构 和 系统 对 内 外 部 事件 的 响应 。 

3. 平台 特定 模型 (PSM) 。PSM 是 由 平台 独立 模型 转化 得 到 的 ， 其 中 每 一 个 应 用 平台 都 有 一 
个 独立 的 PSM, RWE, PSM 应 有 好 几 层 ， 每 一 层 都 增加 了 一 些 特 定 的 平台 细节 。 所 以 ， 第 一 
层 PSM 可 能 是 中 间 件 ， 专 门 的 但 独立 于 数据 库 的 。 当 选 定 一 个 特定 的 数据 库 时 ， 一 个 数据 库 专 
门 的 PSM 就 产生 了 。 

前 面 已 经 讲 到 ， 模 型 之 间 的 转换 由 软件 工具 自动 完成 ， 如 图 5-19 所 示 。 该 图 也 表示 了 自动 
转换 的 最 后 一 层 。PSM 可 通过 变换 生成 在 所 设计 的 软件 平台 上 运行 的 可 执行 代码 。 

现在 为 止 ，CIM 向 PIM 的 自动 翻译 仍 处 在 研究 原型 阶段 。 在 近期 还 不 可 能 出 现 完 全 的 自动 
翻译 工具 。 人 工 干预 ， 在 图 5-19 中 用 小 人 表示 ， 在 可 预期 的 未 来 还 是 需要 的 。CIM 之 间 是 有 联 








平台 特定 的 | 
模式 和 规则 | 


m 





图 5-19 MDA 变换 
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系 的 并 且 一 部 分 翻译 过 程 可 能 涉及 不 同 CIM 中 的 概念 的 链接 。 比 如 ， 安 全 CIM 中 角色 的 概念 可 
能 映射 到 医院 CIM 中 的 工 号 的 概念 。Mellor 和 Balcer (2002) 给 出 了 “ 桥 ” 的 概念 来 描述 支持 
CIM 之 间 映 射 的 信息 。 

从 PIM 向 PSM 的 翻译 更 加 成 熟 ， 并 且 已 有 一 些 商 业 工 具 提 供 从 PIM 向 通用 平台 比如 Java 和 
J2EE 的 翻译 器 。 它 们 依靠 一 个 很 大 的 平台 特定 的 规则 和 模式 库 将 PIM 转换 为 PSM。 系 统 中 有 可 
能 多 个 PSM 对 应 一 个 PIM。 如 果 一 个 软件 系统 要 在 不 同 平台 上 运行 (比如 J2EE 和 .Net)， 那 么 
唯一 必须 的 就 是 维护 PIM。 每 一 个 平台 的 PSM 是 自动 产生 的 ， 如 图 5-20 所 示 。 




















um | C# 代码 | 
图 5-20 复合 平台 特定 模型 


尽管 支持 MDA 的 工具 包括 平台 特定 的 翻译 器 ， 一 般 情形 是 它们 只 提供 从 PIM 向 PSM 翻译 的 
部 分 支持 。 大 多 数 情况 下 ， 一 个 系统 的 执行 环境 往往 不 止 是 标准 的 执行 平台 (比如 IDEE 和 
. Net) 。 还 包括 其 他 的 应 用 系统 、 公 司 专用 的 应 用 库 ， 以 及 用 户 界 面 库 。 因 为 各 公司 间 的 差异 很 
大 ， 所 以 标准 的 工具 支持 就 失效 了 。 因 此 ， 当 介绍 MDA 时 ， 必 须 建立 具有 特殊 目的 翻译 器 ， 它 
们 应 将 本 地 环境 的 特点 考虑 进去 。 有 些 情 况 下 〈 比如 用 户 界面 的 产生 ) ，PIM 完全 自动 翻译 为 
PSM 几乎 是 不 可 能 的 。 

敏捷 方法 和 模型 驱动 体系 结构 之 间 的 关系 不 是 很 顺畅 。 大 规模 的 前 期 建 模 和 敏捷 宣言 中 的 
基本 思想 有 冲突 ， 很 少 会 有 敏捷 开发 者 会 对 模型 驱动 工程 感到 很 舒服 。MDA 的 开发 者 认为 ， 
MDA 支持 迭代 的 开发 方法 所 以 可 以 应 用 在 敏捷 方法 中 (Mellor 等 ，2004) 。 如 果 PIM 可 进行 完全 
自动 的 转换 并 产生 完整 的 程序 ， 那 么 ， 原 则 上 ，MDA 就 可 以 应 用 在 敏捷 开发 过 程 ， 因 为 不 再 需 
要 单独 编写 代码 。 然 而 ， 据 作者 所 知 ， 现 在 还 没有 能 支持 回归 测试 和 测试 驱动 开发 活动 的 MDA 
工具 。 


5. 5.2 可 执行 UML 


模型 驱动 工程 背后 的 基本 的 概念 是 ， 模 型 向 代码 的 完全 自动 化 转化 是 可 行 的。 为 了 实现 这 
一 点 ， 我 们 必须 能 够 建立 语义 完好 定义 的 图 模型 。 我 们 还 需要 一 种 向 图 模型 添加 信息 的 方法 ， 以 
保证 模型 中 的 定义 的 操作 能 够 被 实现 。 这 是 可 行 的 ， 通 过 使 用 UML 2. 0 的 子 集 ， 即 可 执行 UML 
或 xUML (Mellor 和 Balcer，2002) 。 这 里 没有 足够 的 篇 幅 介绍 xUML 的 具体 内 容 ， 仅 简单 地 给 出 
一 个 对 xUML 的 主要 特征 的 介绍 。 

UML 是 一 种 支持 软件 设计 和 记录 软件 设计 的 语言 ， 而 不 是 编程 语言 。UML 的 设计 者 关心 的 
不 是 语言 的 语义 细节 ， 而 是 它 的 表达 能 力 。 他 们 引入 了 一 些 有 用 的 概念 ， 比 如 用 例 图 ， 以 帮助 设 
H, 但 是 它们 是 很 不 形式 化 的 所 以 不 能 支持 执行 。 为 了 建立 一 个 UML 可 执行 的 子 集 ， 模 型 类 型 
的 数量 已 经 被 剧 减 为 3 个 主要 的 模型 类 型 ， 

1. 领域 模型 ， 识 别 出 系 统 的 主要 关注 点 ， 然 后 由 UML 的 类 图 定义 ， 其 中 包括 对 象 、 属 性 和 
关联 。 

2. 类 模型 ， 在 类 模型 中 定义 类 以 及 它们 的 属性 和 操作 。 
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3. 状态 模型 ， 状 态 模 型 中 的 每 一 个 状态 图 都 与 一 个 类 相关 联 ， 并 且 用 来 描述 类 的 生命 周期 。 

系统 的 动态 行为 可 以 使 用 对 象 约束 语言 (OCL) 详细 说 明 ， 或 者 使 用 UML 的 动作 语言 表达 。 
这 种 动作 语言 就 像 一 种 非常 高 级 的 编程 语言 ， 我 们 可 以 用 它 来 查找 对 象 和 它们 的 属性 ， 还 可 指 
定 将 执行 的 动作 。 


n 模型 是 忽略 了 一 些 系统 细节 的 系统 抽象 表示 。 建 立 互补 的 系统 模型 来 表示 系统 的 上 下 文 、 
交互 、 结 构 和 行为 。 

n 上 下 文 模型 描述 所 建 模 的 系统 是 如 何在 含有 其 他 系统 和 流程 的 环境 中 工作 的 。 它 们 帮助 定 
义 被 建 系统 的 边界 。 

w 用 例 图 和 时 序 图 用 来 描述 系统 用 户 之 间或 系统 用 户 和 其 他 系统 之 间 的 交互 。 用 例 描述 的 是 
系统 和 外 部 参与 者 之 间 的 交互 ; 时 序 图 通过 表示 系统 对 象 之 间 的 交互 为 用 例 图 添加 更 多 的 
信息 。 

m 结构 模型 表示 的 是 系统 的 体系 结构 。 类 图 用 来 定义 系统 中 类 的 静态 结构 以 及 类 之 间 的 关联 
关系 。 

行为 模型 用 来 描述 可 执行 系统 的 动态 行为 。 我 们 可 以 从 系统 处 理 数据 的 角度 和 事件 激励 系 
统 产 生 响 应 的 角度 来 建立 这 种 模型 。 

m 活动 图 用 来 为 数据 的 处 理 过 程 建 模 ， 其 中 每 一 个 活动 图 代表 一 个 处 理 步 又 。 

m 状态 图 用 来 为 响应 内 外 部 事件 的 系统 行为 建 模 。 

u 模型 驱动 工程 是 一 种 软件 开发 的 方法 ， 其 中 的 系统 表示 为 可 自动 转换 为 可 执行 代码 的 模型 
的 集合 。 


进一步 阅读 材料 

(Requirements Analysis and System Design》 这 本 书 主要 关注 信息 系统 分 析 ， 讨 论 如 何 在 分 析 
过 程 中 使 用 不 同 UML 模型 (L Maciaszek, Addison-Wesley, 2001), 

«MDA Distilled; Principles of Model-driven Architecture》 它 是 对 MDA 方法 的 一 个 简明 易 懂 的 
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理解 UML 的 一 本 好 书 (P. Stevens with R. Pooley, Addison-Wesley, 2006), 
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5.1 解释 为 正在 开发 的 系统 的 上 下 文 建立 模型 的 重要 性 ， 并 给 出 两 个 由 于 软件 工程 师 不 理解 系统 的 上 下 文 
而 可 能 产生 的 错误 。 

5.2 如何 使 用 现 有 系统 的 模型 ? 解释 这 样 的 系统 模型 必须 保证 完整 和 正确 的 原因 。 如 果 我 们 正在 建立 一 个 
新 系统 的 模型 ， 这 样 的 模型 还 行 吗 ? 

53 请 你 开发 一 个 系统 ， 该 系统 用 来 帮助 我 们 组 织 大 规模 的 活动 和 聂 会， 比如， 婚礼， 毕业 典礼 ， 生 日 聚 
会 等 。 使 用 UML 活动 图 为 系统 过 程 上 下 文 建立 模型 ， 来 表示 组 织 聚 会 中 的 活动 《比如 ,预定 地 点 ， 
组 织 邀 请 等 ) 和 在 每 一 阶段 所 使 用 的 系统 元 素 。 

5.4 对 MHC-PMS， 请 提出 一 组 用 例 ， 来 表示 医生 (查看 病人 并 为 病人 提供 治疗 、 开 处 方 的 人 ) 与 MHC-PMS 
之 间 的 交互 。 
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5.5 请 建立 一 个 时 序 图 表示 大 学 生 选 课时 所 涉及 的 交互 。 因 为 课程 选择 是 有 限制 人 数 的 ， 所 以 选课 过 程 必 
须 包 括 对 空间 有 效 性 的 检测 。 假 定 学 生 可 以 使 用 一 个 电子 课程 目录 来 发 现 可 选课 程 。 
5.6 仔细 观察 你 所 使 用 的 电子 邮件 系统 中 的 信件 和 电子 信箱 是 怎么 表示 的 。 为 在 系统 实现 中 可 能 用 到 的 对 
象 类 建 模 来 表示 电子 信箱 和 电子 邮件 。 
5.7 基于 你 使 用 银行 ATM 机 的 经 历 ， 请 画 一 个 活动 图 ， 当 客户 从 机 器 中 提取 现金 时 ， 为 可 能 涉及 的 数据 
处 理 过 程 建 模 。 
5.8 为 同一 个 系统 画 一 个 时 序 图 。 解 释 为 什么 你 在 为 系统 行为 建 模 时 ， 可 能 会 同时 建立 活动 图 和 时 序 图 。 
5.9 画 出 下 列 控 制 软件 的 状态 图 ， 
m 对 不 同类 型 的 衣服 具有 不 同 程序 的 自动 洗衣 机 ; 
m DVD 播放 器 的 软件 ; 
m 一 个 电话 应 答 系统 。 它 可 以 记录 发 进来 的 信息 并 且 可 以 在 LED 上 显示 接收 信息 的 号 码 。 这 个 系统 
应 该 允许 电话 客户 从 任何 地 点 打 进来 ， 可 以 为 一 系列 的 号 码 分 类 ， 并 可 查看 任何 被 记录 的 信息 。 
5.10 ”假如 你 是 一 个 软件 工程 管理 者 ， 你 的 团队 提出 用 模型 驱动 工程 开发 一 个 新 系统 。 当 决定 是 否 使 用 这 
种 软件 开发 的 新 方法 时 ， 你 应 该 考虑 哪些 因素 ? 
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目标 
本 章 的 目标 是 介绍 软件 体系 结构 概念 和 体系 结构 的 设计 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 
m 软件 的 体系 结构 设计 为 什么 很 重要 ; 
a 在 体系 结构 设计 阶段 对 系统 体系 结构 必须 做 出 的 决策 ; 
n 介绍 体系 结构 的 模式 思想 ， 介 绍 经 验证 明 有 效 的 、 并 且 能 够 在 系统 设计 中 复 用 的 组 织 系 统 
体系 结构 的 方法 ; 
a 了 解 经 常 在 不 同 的 应 用 系统 类 型 中 使 用 的 体系 结构 模式 ， 包 括 事务 处 理 系统 和 语言 处 理 
系统 。 


体系 结构 设计 关心 的 是 理解 如 何 组 织 一 个 系统 和 设计 系统 的 整体 结构 。 如 在 第 2 章 所 介绍 
的 ， 在 软件 开发 过 程 模型 中 ， 体 系 结构 设计 是 软件 设计 过 程 中 的 第 一 步 。 体 系 结构 设计 是 设计 和 
需求 工程 之 间 的 桥梁 ， 因 为 它 识别 系统 的 主要 的 结构 组 件 以 及 它们 之 间 的 关系 。 体 系 结构 设计 
过 程 的 输出 是 体系 结构 模型 ， 它 描述 系统 是 如 何 由 一 组 相互 交互 的 组 件 组 成 的 。 

在 敏捷 过 程 中 ， 人 们 普遍 接受 这 样 一 种 观念 ， 即 开发 过 程 的 早期 应 当 涉 及 建立 整体 的 系统 
体系 结构 。 体 系 结构 的 增 量 式 开发 并 不 总 是 成 功 的。 虽然 以 重 构 组 件 来 响应 变更 通常 是 相对 容 
Salt), 但 是 重 构 一 个 系统 体系 结构 可 能 是 非常 昂贵 的 。 

为 了 帮助 读者 理解 系统 体系 结构 ， 考 虑 图 6-1。 该 图 显示 了 一 个 打包 机 器 人 系统 的 体系 结构 
的 抽象 模型 ， 它 描述 了 所 要 开发 的 子 系统 。 这 个 机 器 人 系统 能 够 对 不 同类 型 的 对 象 进行 打包 。 它 
使 用 了 一 个 视觉 子 系统 来 拾取 传送 带 上 的 对 象 ， 识 别 对 象 类 型 并 选择 正确 的 打包 方式 ， 然 后 从 
传送 带 上 移 下 对 象 、 打 包 ， 最 后 将 其 送 到 另 一 个 传送 带 上 。 体 系 结构 模型 描述 了 这 些 组 件 以 及 它 
们 之 间 的 关联 。 





手臂 控制 器 和 ”| 机 械 爪 控制 器 


图 6-1 打包 机 器 人 控制 系统 的 体系 结构 
在 实际 过 程 中 ， 在 需求 工程 和 体系 结构 设计 之 间 有 很 大 的 重要 。 理 想 情形 是 ， 系 统 描述 应 该 
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不 包含 设计 信息 。 但 这 是 不 现实 的 ， 除 非 对 于 很 小 的 系统 。 体 系 结构 分 解 对 于 结构 和 组 织 描述 是 
必要 的 。 因 此 ， 作 为 需求 工程 过 程 的 一 部 分 ， 我们 会 提供 一 个 抽象 的 系统 体系 结构 ， 把 许多 系统 
功能 和 特征 集合 关联 到 一 些 大 规模 组 件 或 者 子 系 统 上 。 那 么 我 们 就 能 够 使 用 这 种 分 解 来 与 信息 
持 有 者 讨论 需求 和 系统 特征 。 

我 们 可 以 在 两 个 抽象 层次 上 设计 软件 体系 结构 ， 它 们 是 小 规模 体系 结构 和 大 规模 体系 结构 : 

L 小 规模 体系 结构 与 单个 程序 的 体系 结构 相关 。 在 这 个 层次 上 ， 我 们 关注 将 单个 程序 分 解 
成 许多 组 成 部 分 的 方法 。 这 一 章 主要 考虑 程序 体系 结构 。 

2. 大 规模 体系 结构 与 复杂 企业 系统 的 体系 结构 相关 ， 包括 其 他 的 系统 、 程 序 和 程序 组 件 。 
这 些 企业 系统 分 布 在 不 同 的 计算 机 上 ， 这 些 计算 机 可 能 由 不 同 的 企业 拥有 和 管理 。 第 18 章 和 第 
19 章 涉及 大 规模 体系 结构 ， 在 那里 我 们 将 讨论 分 布 式 体系 结构 。 

软件 体系 结构 非常 重要 ， 因 为 它 影响 系统 的 性 能 、 健 壮 性 、 分 布 能 力 和 可 维护 性 (Bosch, 
2000) 。 就 如 Bosch 所 述 ， 单 个 的 组 件 实现 系统 功能 需求 ， 而 非 功 能 需求 依靠 体系 结构 一 一 一 种 
把 这 些 组 件 组 织 起 来 并 能 够 通信 的 方法 。 在 许多 系统 中 ， 非 功能 需求 也 会 受到 单个 组 件 的 影响 ， 
但 是 毫 无 疑问 系统 的 体系 结构 起 到 决定 性 的 作用 。 

Bass 等 (2003) 讨论 了 明确 设计 和 文档 化 软件 体系 结构 的 3 个 好 处 : 

l 信息 持 有 者 之 间 的 沟通 ”体系 结构 是 系统 的 一 个 高 层 表示 ， 可 以 作为 不 同 的 信息 持 有 者 
之 间 讨 论 的 焦点 。 

2. 系统 分 析 在 系统 开发 的 早期 阶段 明确 给 出 系统 的 体系 结构 ， 实 际 上 就 是 对 系统 的 分 析 
过 程 。 体 系 结构 设计 决策 对 系统 能 否 满足 关键 性 需求 (如 系统 的 性 能 、 可 靠 性 和 可 维护 性 等 ) 
有 具有 极 深 的 影响 。 

3 大 规模 复 用 ”系统 体系 结构 的 模型 是 一 个 紧凑 的 、 易 于 管理 的 描述 ， 描 述 系 统 如 何 组 织 
和 组 件 间 如 何 交互 。 体 系 结构 能 在 具有 相似 需求 的 系统 之 间 互 用 ， 由 此 来 支持 大 规模 的 软件 复 
用 。 如 第 16 章 中 所 讨论 的 ， 我 们 可 以 开发 出 产品 线 体系 结构 ， 来 供 一 系列 相关 系统 使 用 。 

Hofmeister $ (2000) 提出 软件 体系 结构 首先 可 以 作为 一 个 设计 计划 ， 用 来 协商 系统 需求 ， 
其 次 可 以 作为 与 客户 、 开 发 人 员 以 及 管理 人 员 进 行 结构 讨论 的 手段 。 他 们 还 建议 ， 这 是 复杂 性 管 
理 的 一 个 重要 工具 。 它 隐藏 了 细节 ， 并 允许 设计 者 集中 于 一 些 关键 性 的 系统 抽象 。 

系统 体系 结构 经 常会 用 方块 图 来 建 模 ， 如 图 6-1 所 示 。 在 方块 图 中 每 一 个 方块 代表 一 个 组 
Vr, 方块 中 的 方块 表示 所 代表 的 组 件 又 被 分 解 为 一 些 子 组 件 ， 箭 头 表示 所 示 的 方向 有 数据 和 控 
制 信号 从 一 个 组 件 流 动 到 另 一 个 组 件 。 在 Booch 的 软件 体系 结构 目录 中 (Booch, 2009) 我 们 能 
看 到 许多 这 种 类 型 的 体系 结构 模型 的 例子 。 

方块 图 给 出 了 系统 结构 的 一 个 高 层次 描述 ， 来 自 不 同 工 程 学 科 的 、 参 与 到 此 系统 开发 过 程 
中 的 人 员 都 能 够 看 得 懂 这 种 描述 。 尽 管 方 块 图 被 广泛 地 应 用 ,但 Bass 等 (2003) 并 不 喜欢 以 非 
形式 化 的 方块 图 来 描述 体系 结构 。 他 们 认为 这 种 非 形 式 化 的 方块 图 并 不 是 一 种 好 的 体系 结构 的 
表示 方法 ， 因 为 它 既 没有 给 出 系统 组 件 之 间 的 关系 类 型 ， 也 没有 显示 出 组 件 可 见 的 外 部 特性 。 

在 实践 和 体系 结构 理论 之 间 出 现 了 很 明显 的 矛盾 ， 因 为 使 用 程序 的 体系 结构 模型 有 两 种 
方法 : 

1， 作 为 一 种 加 快 系 统 设计 商讨 的 方法 ”一 个 高 层次 的 系统 体系 结构 视图 对 于 与 信息 持 有 者 
之 间 沟 通 以 及 项 目 规划 是 非常 有 效 的 ， 因 为 它 不 摊 杂 细节 。 信 息 持 有 者 能 看 得 懂 ， 了 解 系 统 的 概 
貌 。 他 们 能 够 把 系统 看 作 一 个 整体 来 讨论 而 不 被 细节 所 混淆 。 体 系 结构 模型 能 识别 出 每 个 将 要 
开发 的 关键 组 件 ， 所 以 管理 者 可 以 指派 人 员 规 划 系统 的 开发 。 

2. 作为 一 种 对 已 设计 好 的 体系 结构 文档 化 的 方法 ”这 里 的 目标 是 制作 出 一 个 完全 的 系统 模 
A, 来 显示 系统 中 的 不 同 组 件 以 及 它们 之 间 的 接口 和 关联 。 这 种 方法 的 理由 是 ， 如 此 详细 的 体系 
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结构 描述 使 得 对 系统 的 理解 和 进化 变 得 容易 。 

在 设计 过 程 中 ,方块 图 是 描述 系统 体系 结构 很 合适 的 方法 ， 因 为 它 是 一 种 支持 设计 过 程 中 
的 人 与 人 之 间 沟 通 的 很 好 的 方式 。 在 许多 项 目 中 ,方块 图 通常 是 仅 存 的 体系 结构 文档 。 可 是 ， 如 
果 完 全 地 记录 系统 体系 结构 ， 那 么 最 好 用 一 种 带 有 清晰 语义 的 符号 系统 来 描述 体系 结构 。 尽 管 
如 此 ， 就 像 将 在 6. 2 节 中 提 到 的 ， 许 多 人 认为 详细 的 文档 既 没 用 而 且 开发 它 的 花费 也 确实 是 十 分 
昂贵 的 。 


6.1 体系 结构 设计 决策 

体系 结构 设计 是 一 个 充满 创造 性 的 过 程 ， 设 计 一 个 系统 组 成 来 满足 功能 性 和 非 功 能 性 系统 
需求 。 由 于 它 是 一 个 创造 性 的 过 程 ， 所 以 工程 中 的 活动 很 大 程度 上 依赖 于 所 要 开发 的 系统 类 型 、 
系统 架构 师 的 背景 和 经 验 以 及 系统 的 特殊 需求 。 因 此 ， 把 体系 结构 设计 看 做 一 系列 将 要 做 的 决 
策 要 比 把 它 视 为 一 连 串 的 活动 更 有 效 。 

在 体系 结构 设计 过 程 中 ,系统 架构 师 必须 做 出 很 多 结构 上 的 决定 ， 这 些 决 定 将 极 大 地 影响 
系统 本 身 及 其 开发 过 程 。 根 据 他 们 的 知识 和 经 验 ， 他 们 必须 回答 以 下 一 些 关 于 系统 的 根本 性 
问题 : 

- 对 于 所 要 设计 的 系统 ， 是 否 存在 一 个 一 般 性 的 应 用 体系 结构 可 以 当做 模板 ? 
.系统 将 如 何 分 配 到 多 个 核 或 处 理 器 上 ? 

. 哪些 体系 结构 模式 和 风格 可 能 会 用 到 ? 

. 哪 种 方法 是 系统 结构 分 析 的 基本 方法 ? 

.如 何 将 系统 中 的 结构 组 件 分 解 为 子 组 件 ? 

. 应 该 使 用 什么 样 的 策略 来 控制 系统 中 组 件 的 操作 ? 

- 什么 样 的 体系 结构 组 织 方式 对 于 交付 非 功 能 性 的 系统 需求 是 最 好 的 ? 
.如何 评 估 体 系 结构 设计 ? 

.如 何 对 系统 体系 结构 文档 化 ? 

尽管 每 个 软件 系统 都 是 独特 的 ,但 是 同一 个 应 用 领域 内 的 系统 通常 具有 相似 的 体系 结构 ， 
这 种 体系 结构 能 反映 基本 的 领域 概念 。 例 如 ， 应 用 产品 线 是 围绕 一 个 核心 体系 结构 建立 的 一 些 
应 用 ， 核 心 体系 结构 会 有 一 些 变量 ， 可 以 调整 这 些 变量 来 满足 专门 用 户 的 需求 。 在 设计 系统 体系 
结构 时 ， 我 们 必须 找 出 本 系统 和 更 广泛 的 一 些 应 用 类 之 间 的 共同 之 处 ， 然 后 确定 从 这 些 应 用 体 
系 结构 中 能 够 复 用 多 少 。 我 们 将 在 6.4 节 中 讨论 一 般 应 用 体系 结构 ， 在 第 16 章 中 讨论 应 用 产 
品 线 。 

对 于 嵌入 式 系统 和 为 个 人 计算 机 设计 的 系统 ， 通 常 只 有 一 个 处 理 器 ,我们 无 需 设计 分 布 式 
体系 结构 。 然 而 ， 绝 大 多 数 大 型 系统 现在 都 是 分 布 式 系统 ， 系 统 软件 是 分 布 在 很 多 不 同 计算 机 上 
的 。 对 分 布 式 体系 结构 的 选择 是 一 个 关系 到 系统 性 能 和 可 靠 性 的 关键 决断 。 这 本 身 就 是 一 个 重 
要 话题 ， 将 在 第 18 章 中 单独 介绍 。 

软件 系统 的 体系 结构 要 基于 特定 的 体系 结构 模式 或 风格 。 体 系 结构 模式 是 系统 组 成 的 描述 
( Garlan 和 Shaw, 1993), ， 比 如 客户 机 - 服务 器 组 成 结构 和 分 层 体 系 结构 。 体 系 结构 模式 抓 住 了 
体系 结构 的 本 质 ， 这 种 本 质 的 东西 已 经 在 不 同 的 软件 系统 中 得 到 运用 。 当 要 对 系统 体系 结构 做 
出 决策 的 时 候 , 我 们 应 当 了 人 解 通用 模式 ， 它 们 都 适合 在 哪里 使 用 ， 以 及 它们 各 自 的 优点 和 缺陷 。 
6.3 节 将 讨论 一 些 经 常用 到 的 模式 。 | 

Garlan 和 Shaw 关于 体系 结构 风格 的 概念 (风格 和 模式 是 同一 个 意思 ) 涉及 前 面 根本 性 问题 
列表 中 的 4 到 6 号 问题 。 我 们 必须 选择 最 合适 的 结构 ， 比 如 客户 机 - 服务 器 结构 或 者 是 分 层 结 
构 ， 这 能 让 我 们 完成 系统 需求 。 为 了 分 解 结构 性 系统 单元 ， 我 们 得 制定 将 组 件 分 解 为 相应 的 -一些 
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子 组 件 的 策略 。 所 能 使 用 的 方法 允许 我 们 去 实现 不 同类 型 的 体系 结构 。 最 后 ， 在 控制 建 模 过 程 
中 ， 做 出 关于 如 何 控制 组 件 的 执行 的 决策 。 对 系统 的 不 同 部 分 之 间 的 控制 关系 ， 要 开发 一 个 通用 
模型 。 

由 于 非 功能 性 需求 和 软件 体系 结构 的 密切 关系 ， 我 们 为 系统 所 选择 的 特殊 的 体系 结构 风格 
和 结构 应 当 依赖 于 非 功能 性 系统 需求 : 

1. 性 能 ”如果 性 能 是 关键 性 需求 ， 那 么 体系 结构 的 设计 就 要 定位 在 少数 几 个 组 件 上 的 一 些 
关键 操作 上 ， 把 这 些 组 件 都 部 署 到 同一 台 计 算 机 而 不 是 分 配 到 网 络 中 。 这 可 能 意味 着 系统 要 使 
用 较 大 粒度 的 组 件 而 不 是 小 粒度 的 组 件 ， 以 此 来 减少 组 件 之 间 的 通信 次 数 。 我 们 可 能 还 会 考虑 
运行 时 系统 组 织 方式 ， 人 允许 系统 在 不 同 的 处 理 器 上 被 复制 和 执行 。 

2. 信息 安全 性 (security) 如果 信息 安全 性 是 一 个 关键 性 的 需求 ， 那 么 体系 结构 的 设计 就 
要 采用 分 层 结 构 ， 把 重要 资源 放 在 内 层 ， 并 且 在 每 层 中 采用 更 加 严格 的 信息 安全 有 效 性 验证 。 

3. 安全 性 (safety) ”如 果 安 全 是 一 个 关键 性 的 需求 ， 那 么 系统 体系 结构 的 设计 就 要 将 与 安 
全 相关 的 操作 集中 在 一 个 或 少数 几 个 组 件 中 。 这 样 做 会 降低 成 本 和 减少 安全 有 效 性 验证 方面 的 
问题 ， 而 且 有 可 能 为 之 提供 相应 的 保护 系统 ， 这 种 保护 系统 能 够 安全 地 关闭 系统 以 防 失败 。 

4 可 用 性 ”如果 可 用 性 是 一 个 关键 性 需求 ， 那 么 系统 体系 结构 设计 就 要 采用 元 余 组 件 以 便 能 
在 无 需 系统 停 止 运行 的 情况 下 更 新 和 替换 组 件 。 第 13 章 描述 了 两 种 适 于 高 可 用 性 系统 的 容错 型 
体系 结构 。 

5. 可 维护 性 ”如 果 可 维护 性 是 一 个 关键 性 需求 ， 那 么 系统 体系 结构 设计 就 要 使 用 小 粒度 的 
自 包含 组 件 以 便于 更 换 。 数 据 的 生产 者 和 数据 的 消费 者 应 该 分 开 ， 尽量 避 免 它们 之 间 的 数据 
共享 。 

显然 这 些 体系 结构 之 间 有 潜在 的 冲突 。 举 例 来 说 ， 性 能 的 改进 需要 使 用 大 粒度 组 件 ， 而 改善 
可 维护 性 需要 使 用 小 粒度 组 件 。 如 果 这 两 个 指标 都 是 系统 的 关键 性 需求 ， 就 需要 采取 一 个 折 中 
方案 。 有 时 可 以 通过 针对 不 同 部 分 而 采用 不 同 的 体系 结构 模式 或 风格 来 实现 。 

对 体系 结构 设计 的 评估 是 困难 的 ， 这 是 因为 ， 对 体系 结构 的 真正 的 检验 是 要 看 当 它 正在 使 
用 的 时 候 能 在 多 大 程度 上 满足 功能 性 和 非 功能 性 需求 。 然 而 ， 在 某 些 情况 下 ， 我 们 可 以 通过 将 自 
己 的 设计 和 参考 体系 结构 或 一 般 体系 结构 模式 进行 比较 来 评估 。Bosch (2000) 对 于 体系 结构 模 
式 非 功能 性 特征 的 描述 也 能 用 来 帮助 评估 体系 结构 。 


6.2 体系 结构 视图 


在 本 章 的 引言 中 解释 了 软件 体系 结构 模型 能 够 用 来 聚焦 关于 软件 的 需求 和 设计 的 讨论 。 或 
者 ， 它 可 以 用 来 文档 化 设计 过 程 以 便 作 为 更 详细 设计 和 实现 的 基础 ， 并 且 有 利于 系统 未 来 的 进 
化 。 本 节 讨论 以 下 两 个 相关 的 问题 : 

1， 当 设计 和 文档 化 一 个 系统 的 体系 结构 时 ， 什 么 样 的 视图 或 角度 是 有 效 的 ? 

2， 应 该 使 用 什么 样 的 符号 系统 来 描述 体系 结构 模型 ? 

在 单个 的 体系 结构 模型 中 是 不 可 能 提出 所 有 与 系统 体系 结构 相关 的 信息 的 ， 因 为 每 一 种 模 
型 只 能 显示 系统 的 一 种 角度 和 视图 。 它 能 说 明 系 统 是 如 何 分 解 成 许多 的 模块 ， 运 行 时 进程 之 间 
是 如 何 交 互 的 ， 或 系统 组 件 通 过 网 络 是 如 何以 不 同 的 方式 分 布 的 。 对 于 设计 和 文档 化 ， 在 不 同 的 
时 期 ， 所 有 这 些 都 是 非常 有 用 的 ， 我 们 通常 需要 提供 系统 体系 结构 的 多 重视 图 。 

至 于 需要 什么 样 的 视图 是 有 很 多 选择 的 。Krutchen (1995) 在 其 众所周知 的 系统 体系 结构 
4 +1 视图 模型 中 建议 应 该 有 4 种 基础 的 体系 结构 视图 ， 这 些 视 图 通过 用 例 或 脚本 关联 在 一 起 。 
他 建议 的 视图 有 : 

l. 逻辑 视图 ， 它 显示 了 系统 中 对 象 和 对 象 类 的 一 些 主 要 抽象 。 通 过 这 种 轨 辑 视图 ， 将 系统 
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需求 和 实体 关联 起 来 应 该 是 可 能 的 。 

2. 进程 视图 ， 它 显示 了 在 运行 时 系统 是 如 何 组 织 为 一 组 交互 的 进程 。 这 种 视图 对 非 功 能 系 
统 特征 的 判断 是 非常 有 效 的 ， 比 如 性 能 和 可 用 性 。 

3. 开发 视图 ， 它 显示 了 软件 是 如 何 为 了 开发 而 被 分 解 的 ， 即 将 软件 分 解 成 可 以 由 单独 的 开 
发 人 员 或 开发 团队 实现 的 组 件 。 这 种 视图 对 软件 的 管理 者 和 程序 员 有 用 。 

4. 物理 视图 ， 它 显示 了 系统 硬件 和 系统 中 软件 组 件 是 如 何 分 布 在 处 理 器 上 的 。 这 种 视图 对 
系统 工程 师 规划 系统 部 署 是 非常 有 用 的 。 

Hofmeister (2000) 建议 在 使 用 类 似 视 图 的 基础 上 再 添加 概念 视图 。 这 种 视图 是 系统 的 抽 
象 视图 ， 它 可 以 作为 把 高 层次 需求 分 解 为 详细 描述 的 基础 ， 来 帮助 工程 师 在 可 复 用 的 组 件 、 表 现 
产品 线 而 不 是 单独 的 系统 〈 在 第 16 章 中 讨论 ) 等 方面 做 出 决策 。 如 图 6-1 所 示 ， 描 述 了 打包 机 
器 人 的 体系 结构 就 是 概念 性 系统 视图 的 一 个 例子 。 

实际 上 ， 在 设计 过 程 中 几乎 常常 会 形成 概念 视图 ， 同 时 它 对 体系 结构 的 决策 也 是 很 有 帮助 
的 。 概 念 视 图 给 出 系统 的 本 质 内 容 供 不 同 的 信息 持 有 者 之 间 交 流 。 在 设计 过 程 中 ， 当 讨论 系统 的 
不 同方 面 时 也 可 能 会 形成 一 些 其 他 的 视图 ， 但 是 包含 各 个 角度 的 完全 描述 是 没有 必要 的 。 关 于 
系统 的 不 同 视图 也 可 能 会 涉及 体系 结构 模式 ， 第 7 章 会 讨论 这 一 主题 。 

关于 软件 体系 结构 是 否 应 该 使 用 UML 来 描述 有 不 同 的 看 法 (Clements 等 ，2002 ) 2006 年 
的 一 个 调查 显示 (Lange 等 ，2006 ) UML 被 使 用 的 情形 ， 多 数 都 是 松散 的 、 非 形式 化 的 场合 。 
这 篇 论文 的 作者 认为 这 是 一 件 不 好 的 事情 。 本 书 作 者 却 不 同意 这 种 观点 ， 设 计 UML 是 为 了 描述 
面向 对 象 系统 ， 在 体系 结构 设计 阶段 ， 我 们 常常 想 要 以 更 高 层次 的 抽象 化 来 描述 系统 。 对 象 类 太 
接近 实现 ， 对 于 体系 结构 的 描述 意义 不 大 。 

就 设计 过 程 本 身 而 言 ， 看 不 出 UML 很 有 用 ， 推 荐 采用 一 些 非 正式 的 标记 ， 这 些 标 记 写 起 来 
更 快 而 县 容易 在 白板 上 画 出 来 。 当 我 们 详细 地 文档 化 一 个 体系 结构 或 使 用 模型 驱动 开发 的 时 候 ， 
UML 是 非常 有 价值 的 。 

有 许多 研究 人 员 提 出 了 使 用 专门 的 体系 结构 描述 语言 (ADL) 来 描述 系统 体系 结构 (Bass 
等 ，2003) 。ADL 语言 的 基本 要 素 是 组 件 和 连接 器 ， 这 类 语言 包含 了 形成 规范 化 体系 结构 所 应 该 
使 用 的 规则 和 指南 。 不 过 ， 由 于 它 的 专业 性 ， 领 域 和 应 用 专家 很 难 理解 和 使 用 ADL， 这 导致 在 
实际 的 软件 工程 中 很 难看 到 它 的 有 效 性 。ADL 语言 是 为 特定 领域 设计 的 例如， 汽车 系统 ) ,或 
许可 以 作为 模型 驱动 开发 的 基础 。 尽 管 如 此 ， 像 UML 这 种 非 正 式 的 模型 和 符号 系统 将 仍然 是 文 
档 化 系统 体系 结构 最 普遍 使 用 的 方法 。 

敏捷 方法 的 使 用 者 认为 详细 的 设计 文档 通常 用 不 到 ， 因 此 ， 开 发 它 是 在 浪费 时 间 和 金钱 。 作 
者 很 赞同 这 种 观点 并 且 认 为 从 这 4 个 方面 来 看 ， 大 多 数 系统 是 不 值得 开发 一 个 详细 的 体系 结构 描 
述 的 。 我 们 应 当 开 发 出 这 种 视图 ， 它 有 益 于 沟通 而 且 不 在 乎 我 们 的 体系 结构 文档 是 否 完整 。 不 
过 ， 一 种 例外 的 情况 是 ， 当 我 们 正在 开发 关键 性 系统 ， 当 我 们 需要 做 一 个 详细 的 系统 可 依赖 性 分 
析 时 ， 或 许 需 要 使 外 部 的 管理 者 确定 我 们 的 系统 符合 他 们 的 规则 而 且 可 能 会 需要 完整 的 体系 结 
构 文 档 。 


6. 3 体系 结构 模式 


作为 一 种 表示 、 共 享 和 复 用 软件 系统 知识 的 方法 一 一 模式 的 思想 ， 现在 得 到 了 广泛 的 应 用 。 
有 关 面 向 对 象 设计 模式 这 本 书籍 (Gamma 等 ，1995 ) 的 出 版 引发 了 这 种 思想 ， 这 本 书 促进 了 其 
他 类 型 模式 的 开发 ， 例 如 机 构 设计 模式 (Coplien 和 Harrison, 2004), ， 可 用 性 模式 ( Usability 
Group , 1998) ， 交 互 模式 (Martin 和 Sommerville, 2004) , 配置 管理 模式 (Berczuk 和 Appleton, 
2002) 等 。 体 系 结构 模式 在 20 世纪 90 年 代 以 “体系 结构 风格 ”( Shaw 和 Garlan, 1996) 的 名 字 
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提出 来 ， 共有 5 卷 关 于 面向 模式 的 系统 体系 结构 的 系列 手册 在 1996 年 到 2007 年 间 相 继 出 版 
(Buschmann 等 ，1996; Buschmann 等 ，2007a; Buschmann 等 ，2007b; Kircher 和 Jain, 2004; 
Schmidt 等 ，2000 ) 。 

在 这 一 小 节 中 作者 首先 介绍 体系 结构 模式 并 简要 地 描述 一 种 体系 结构 模式 的 选择 ， 它 是 在 
不 用 类 型 系统 中 都 适用 的 ， 如 果 读 者 希望 了 解 更 多 关于 模式 及 其 使 用 的 内 容 ， 可 以 参阅 出 版 的 
模式 手册 。 

我 们 可 以 把 体系 结构 模式 看 做 是 对 好 的 实践 所 做 的 格式 化 的 抽象 描述 ， 它 们 已 经 在 不 同 的 
系统 和 环境 中 多 次 尝试 和 测试 过 。 所 以 ， 体 系 结构 模式 应 当 描 述 一 种 系统 构成 ， 这 种 构成 在 以 往 
的 系统 中 是 很 成 功 的 。 体 系 结构 模式 还 应 该 包括 : 什么 时 候 这 种 模式 适用 ， 什 么 时 候 这 种 模式 不 
适用 ， 以 及 这 种 模式 的 优点 和 缺点 等 。 

图 6-2 描述 了 众所周知 的 MVC 模式 ， 在 许多 基于 Web 的 系统 中 ， 这 种 模型 是 交互 管理 的 基 
础 。 这 种 格式 化 的 模式 描述 包括 模式 的 名 字 ， 一 个 简短 的 描述 〈 伴 有 一 个 相关 的 图 形 模型 ) ， 以 
及 一 个 这 种 模式 适用 的 系统 类 型 的 例子 (可 能 也 伴 有 一 个 图 形 模型 ) 。 我 们 还 应 该 包括 这 种 模式 
的 应 用 时 机 和 优 缺 点 。 在 图 6-3 和 图 6-4 中 显示 了 与 MVC 模式 相关 的 体系 结构 的 图 形 模型 ， 它 
们 从 不 同 的 角度 展现 体系 结构 一 一 图 6-3 是 概念 视图 ， 而 图 6-4 则 给 出 了 当 该 模式 用 于 基于 Web 
系统 的 交互 管理 时 一 个 可 能 的 运行 时 体系 结构 。 


名 字 | wvc (模型 -视图 -控制 器 ) 


将 表示 和 交互 从 系统 数据 中 分 离 出 来 。 系 统 被 设计 成 由 3 个 彼此 交互 的 逻辑 组 件 组 成 : 模型 组 
件 管理 系统 数据 和 在 数据 上 的 操作 ， 视 图 组 件 定义 和 管理 如 何 显示 数据 给 用 户 ， 控 制 器 组 件 管理 
用 户 的 交互 《例如 ， 键 按 下 ， 鼠 标点 击 等 )， 并 传递 这 些 交互 给 视图 和 模型 。 参 见 图 6-3 


图 6-4 说 明了 采用 MVC 模式 的 基于 Web 的 应 用 系统 的 体系 结构 
在 数据 有 多 个 显示 和 交互 方式 的 时 候 使 用 。 也 可 在 对 未 来 数据 的 交互 和 表示 需求 不 明朗 的 时 候 使 用 | 


允许 数据 独立 地 改变 ， 不 影响 表示 ， 反 之 亦 然 。 支 持 对 相同 数据 的 多 种 不 同方 式 的 表达 ， 对 某 
种 表示 的 变更 会 传递 到 所 有 其 他 的 表示 


可 能 需要 额外 的 代码 ， 当 数据 模型 和 交互 很 简单 时 代码 的 复杂 度 相对 较 高 












































图 6-2 ”模型 -视图 -控制 器 (MVC) 模式 
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绘制 模型 
请 求 模型 更 新 
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通知 视图 状态 已 
图 6-3 MVC 模式 的 组 成 


在 一 节 中 介绍 清楚 软件 开发 所 有 的 通用 模式 是 不 可 能 的 ， 因此， 这 里 仅仅 给 出 了 一 些 精心 
挑选 的 常用 模式 的 例子 ， 它 们 能 很 好 地 遵循 体系 结构 设计 原则 ， 更 多 通用 的 体系 结构 模式 的 例 
子 放 在 了 本 书 的 网 站 上 。 


mox 体系 结构 设计 … 
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图 6-4 采用 MVC 模式 的 Web 应 用 体系 结构 


6.3.1 分 层 体系 结构 


分 离 性 和 独立 性 的 概念 是 体系 结构 设计 的 基础 ， 因 为 分 离 性 和 独立 性 使 得 变更 得 到 局 部 化 。 
图 6-2 所 示 的 MVC 模式 分 离 了 系统 的 组 成 元 素 ， 允 许 它们 独立 地 变更 。 例 如 增加 一 个 新 的 视图 
或 改变 一 个 已 有 的 视图 ， 这 些 操作 都 可 以 在 不 改变 模型 底层 数据 的 情况 下 完成 。 分 层 体 系 结构 
模式 是 实现 分 离 性 和 独立 性 的 另 一 个 方式 ,图 6-5 显示 了 这 种 模式 。 这 里 ， 系 统 的 功能 被 划分 成 
几 个 独立 的 层次 ， 每 一 层 只 依赖 紧 接 的 下 一 层 所 提供 的 服务 和 设施 。 

分 层 的 方法 支持 系统 的 增 量 式 开发 。 如 一 个 层 被 开发 完 ， 该 层 提供 的 服务 就 可 以 被 用 户 使 
用 了 。 这 个 体系 结构 还 是 可 改变 的 和 可 移植 的 。 如 果 一 层 的 接口 被 保留 下 来 ， 这 个 层 就 能 被 另外 
的 一 个 对 等 层 蔡 换 。 当 一 层 的 接口 改变 或 增加 了 新 设施 的 时 候 ， 只 有 毗邻 的 层 受 影响 。 因 为 分 层 
系统 的 抽象 机 依赖 的 是 内 层 中 的 抽象 机 ， 因 此 ， 转 换 到 其 他 机 器 上 实现 是 比较 容易 的 ， 此 时 只 有 
内 部 与 具体 机 器 相关 的 层 需 要 重新 实现 以 适应 不 同 的 操作 系统 或 数据 库 。 














































名 称 分 层 体系 结构 

描述 将 系统 组 织 成 分 层 结构 ， 每 一 层 中 包含 一 组 相关 的 功能 。 每 一 层 提供 服务 给 紧邻 的 上 一 层 ， 因 
此 最 底层 是 有 可 能 被 整个 系统 所 使 用 的 核心 服务 。 参 见 图 6-6 

实例 存在 于 不 同 的 图 书馆 中 的 共享 版 权 文档 的 系统 分 层 模型 ， 参 见 图 6-7 

使 用 时 机 在 已 有 系统 的 基础 上 构建 新 的 设施 时 使 用 ; 当 开 发 团队 由 多 个 分 散 的 小 团队 组 成 ， 且 每 个 小 团 
队 负 责 一 层 的 功能 时 使 用 ; 或 者 是 当 系 统 存在 多 层 信息 安全 性 需求 时 使 用 

优点 允许 在 接口 保持 不 变 的 条 件 下 更 换 整 个 一 层 。 在 每 一 层 中 可 以 提供 元 余 服务 《例如 身份 验证 ) 

以 增加 系统 的 可 靠 性 

在 具体 实践 中 ， 在 各 层 之 间 提供 一 个 干净 的 分 离 通常 是 困难 的 ， 高 层 可 能 不 得 不 直接 与 低层 进 

缺点 行 直 接 交 互 而 不 是 间接 通过 紧邻 的 下 一 层 进 行 交互 。 性 能 可 能 是 个 问题 ， 因 为 服务 请 求 会 在 每 一 


层 中 被 处 理 ， 所 以 会 需要 多 层 解释 








图 6-5 分 层 体系 结构 模式 


图 6-6 是 一 个 分 为 4 层 的 体系 结构 的 例子 。 最 底层 包括 了 系统 支持 软件 ， 比 较 典 型 的 是 数据 
库 和 操作 系统 支持 。 再 上 一 层 是 应 用 程序 层 ， 包 括 与 应 用 功能 相关 的 组 件 、 可 以 被 其 他 应 用 组 件 
利用 的 实用 工具 组 件 等 。 第 三 层 与 用 户 界面 管理 相关 ， 并 提供 用 户 的 身份 验证 和 授权 。 最 上 层 提 
供用 户 界面 设施 。 当 然 ， 分 层 的 数量 是 随意 的 。 图 6-6 中 的 任何 一 层 都 可 以 分 为 两 层 或 更 多 层 。 


100 .第 一 部 分 软件 工程 导论 


图 6-7 是 分 层 体系 结构 模式 应 用 于 一 个 叫做 LIBSYS 的 图 书馆 系统 的 示例 ， 能 够 控制 对 一 组 
大 学 图 书馆 中 版 权 资 料 的 电子 访问 。 这 个 系统 有 5 层 ， 最 底层 是 各 个 图 书馆 中 独立 的 数据 库 。 
我 们 能 在 图 6-17 中 看 到 分 层 体系 结构 的 另外 一 个 例子 。 这 个 例子 显示 了 前 面 章 节 中 讨论 的 


心理 健康 护理 系统 (MHC-PMS) 的 组 织 。 
[mmm 


LIBSYS 表单 和 查询 
系统 登录 管理 器 





分 布 式 
搜索 










用 户 界面 管理 










身份 验证 和 授权 ”| 
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图 6-6 通用 分 层 体系 结构 图 6.7 LIBSYS 系统 的 体系 结构 


6.3.2 容器 体系 结构 


分 层 体 系 结构 和 MVC 模式 都 是 模式 的 例子 ， 是 系统 的 概念 组 成 。 下 一 个 例子 是 容器 ( Re- 
pository) 模式 〈 见 图 6-8) ， 描 述 的 是 一 组 交互 组 件 如 何 共享 数据 。 






系统 的 所 有 数据 在 一 个 中 央 容 器 中 管理 ， 该 中 央 容 器 可 以 被 所 有 系统 组 件 访问 。 组 件 间 不 是 直 
接 进行 交互 ， 它 们 只 通过 容器 进行 交互 


图 6-9 是 IDE 的 一 个 实例 ， 组 件 使 用 一 个 系统 设计 信息 的 容器 。 每 个 软件 工具 生成 信息 放 人 容 
器 ， 然 后 被 其 他 工具 所 使 用 


当 一 个 系统 中 所 生成 的 大 量 信息 需要 持久 保存 时 ， 可 以 使 用 该 模式 。 也 可 以 在 数据 驱动 系统 中 
使 用 该 模式 ， 每 当 在 容器 中 收入 数据 时 将 触发 一 个 动作 或 工具 


组 件 是 独立 的 ， 它 们 无 需 知 道 其 他 组 件 的 存在 。 一 个 组 件 的 变更 可 以 传播 到 所 有 的 组 件 。 所 有 
的 数据 可 以 得 到 一 致 的 管理 〈 例 如 ， 在 同一 时 间 进 行 备 份 ) ， 因 为 它们 是 存放 在 同一 个 地 方 


容器 是 一 个 单个 失败 点 ， 因 而 容器 中 的 问题 会 影响 整个 系统 。 在 组 织 所 有 通过 容器 进行 的 通信 
时 会 比较 低 效 。 将 容器 分 布 到 多 个 计算 机 上 会 很 困难 









































图 6-8 容器 模式 


大 多 数 使 用 大 量 数据 的 系统 都 是 围绕 共享 数据 库 或 容器 来 组 织 的。 因此 ， 这 个 模型 适合 于 
数据 是 由 一 个 组 件 产生 而 由 其 他 组 件 使 用 的 情形 。 这 种 类 型 的 系统 例子 包括 指挥 和 控制 系统 、 
管理 信息 系统 、CAD 系统 和 软件 的 交互 开发 环境 等 。 

图 639 说 明了 一 个 可 能 会 用 到 容器 的 情形 。 该 图 显示 了 一 个 包含 不 同 工 具 来 支持 模型 驱动 开 
发 的 DE 系统 。 在 这 个 例子 中 ， 容 器 或 许 就 是 一 个 能 跟踪 软件 变更 并 允许 回 滚 到 先前 版 本 的 版 
本 控制 环境 (如 将 在 第 25 章 中 所 讨论 的 ) 。 
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图 6-9 IDE 系统 的 容器 体系 结构 


把 所 有 适合 使 用 容器 的 工具 组 织 起 来 是 共享 大 量 数据 的 一 种 高 效 方式 。 这 就 不 需要 显 式 地 
把 数据 从 一 个 组 件 传送 到 另 一 个 组 件 。 然 而 ， 组 件 一 定 要 围绕 一 个 约定 好 了 的 容器 数据 模型 运 
行 。 这 不 可 避免 地 要 在 每 个 工具 的 特定 需求 之 间 做 出 妥协 。 若 一 个 新 组 件 的 数据 模型 与 该 模型 
有 冲突 ， 那 么 要 想 将 它 集成 到 该 系统 中 来 可 能 很 困难 或 是 不 可 能 的 。 实 际 上 ， 将 容器 分 布 到 多 人 台 
机 器 上 可 能 是 困难 的 。 在 逻辑 上 ， 虽 然 将 集中 式 容器 分 布 到 不 同 的 机 器 上 是 可 能 的 ， 但 这 样 做 会 
引起 数据 元 余 和 不 一 致 性 的 问题 。 

如 图 6-9 中 所 示 ， 容 器 是 被 动 的， 对 它 的 控制 是 组 件 的 职责 。 另 外 一 种 方法 源 于 人 工 智能 ， 
即使 用 所 谓 的 “黑板 ”模型 ， 当 有 特别 的 数据 可 用 时 ， 就 会 主动 通报 组 件 。 当 容器 数据 的 结构 
组 织 得 不 是 很 好 时 该 方法 比较 合适 。 到 底 激 活 哪个 工具 要 视 对 数据 的 分 析 结 果 而 定 。 该 模型 由 
Nii (1986) 给 出 ，Boseh (2000) 分 析 了 该 风格 与 系统 质量 属性 之 问 的 关系 。 


6.3.3 客户 机 -服务 器 体系 结构 


容器 模式 与 系统 的 静态 结构 有 关 ， 但 是 不 能 展现 出 它 的 运行 组 织 。 下 一 个 例子 说 明了 一 种 
常用 的 分 布 式 系统 的 运行 时 组 织 。 图 6-10 描述 了 客户 机 - 服务 器 模式 。 


在 客户 机 - 服务 器 体系 结构 中 ， 系 统 的 功能 是 以 服务 的 形态 存在 的 ， 每 一 个 服务 来 自 于 某 个 单独 
的 服务 器 。 客 户 机 是 那些 使 用 服务 和 访问 服务 器 的 用 户 


图 6-11 是 一 个 电影 和 视频 /DVD 资料 库 ， 示 例 是 以 客户 机 - 服务 器 形式 存在 的 系统 


当 需 要 从 很 多 地 点 访问 共享 数据 时 使 用 。 因 为 服务 器 可 以 复制 ， 所 以 也 可 以 在 系统 负载 经 常 变 化 时 使 用 


该 模型 的 主要 优点 是 服务 器 可 以 分 布 到 网 络 上 。 一 般 性 的 功能 〈 例 如 打印 服务 ) 可 以 被 所 有 的 客 
户 机 使 用 ， 但 并 不 需要 被 所 有 的 服务 所 实现 


每 个 服务 是 单个 失败 点 ， 所 以 对 阻止 拒绝 服务 攻击 或 服务 器 失败 缺乏 免疫 性 。 性 能 也 可 能 是 无 法 
预知 的 ， 因 为 它 依赖 于 网 络 也 依赖 于 系统 。 当 服务 器 属于 不 同 的 机 构 时 ， 也 存在 管理 方面 的 问题 











图 6-10 客户 机 -服务 器 模式 

一 个 采用 客户 机 - 服务 器 模式 的 系统 是 由 一 个 服务 集合 和 相关 的 服务 器 以 及 访问 和 使 用 这 
些 服 务 的 客户 机 组 织 起 来 的 。 这 个 模型 的 主要 组 成 部 分 是 : 

1. 一 组 给 其 他 组 件 提供 服务 的 服务 器 。 服 务 器 的 例子 包括 : 打印 服务 器 ， 提 供 打 印 服务 ; 
文件 服务 器 ， 提 供 文档 管理 服务 ; 编译 服务 器 ， 负 责 对 程序 的 编译 服务 。 

2. 一 组 向 服务 器 请 求 服务 的 客户 机 。 一 个 客户 机 程序 通常 有 多 个 实例 ， 可 以 在 不 同 的 计算 
机 上 并 发 执行 。 

3. 一 个 连接 客户 机 和 服务 器 的 网 络 。 绝 大 多 数 客户 机 - 服务 器 系统 实现 为 分 布 式 系统 ， 通 


102 . 


第 一 部 分 “软件 工程 导论 


过 互联 网 的 协议 连接 在 一 起 。 

客户 机 - 服务 器 体系 结构 经 常 被 认为 是 分 布 式 系统 体系 结构 ， 但 是 运行 在 分 散 服务 器 上 的 
独立 服务 的 逻辑 模型 可 以 在 单个 计算 机 上 实现 。 此 外 ， 更 重要 的 好 处 是 分 离 性 和 独立 性 。 服 务 和 
服务 器 可 以 改变 而 不 会 影响 系统 其 他 部 分 。 

客户 机 必须 知道 可 用 的 服务 器 的 名 字 及 它们 所 提供 的 服务 。 反 之 ,服务 器 没有 必要 知道 客 
户 机 的 身份 以 及 到 底 有 多 少 客户 机 在 访问 它们 的 服务 。 客 户 机 通过 远程 过 程 调用 来 获取 服务 器 
提供 的 服务 ， 远 程 过 程 调用 使 用 一 个 请 求 - 回答 协议 ， 比 如 在 WWW 上 使 用 的 hup 协议 。 本 质 
上 ， 客 户 机 向 服务 器 提出 请 求 ， 然 后 等 待 直 到 它 收 到 回答 为 止 。 

建立 在 客户 机 - 服务 锅 模 型 上 的 一 个 系统 例子 如 图 6-11 所 示 。 这 是 一 个 提供 电影 和 图 片 库 
的 多 用 户 的 基于 Web 的 系统 。 在 这 个 系统 中 ， 有 管理 和 放映 不 同类 型 媒体 的 多 个 服务 器 。 视 频 
信号 需要 快速 、 同 步 地 传输 ， 但 分 辩 率 相对 较 低 。 它 们 是 以 压缩 的 形式 存储 的 ， 所 以 视频 服务 器 
需要 对 于 各 种 不 同 的 格式 处 理 视频 压缩 和 解压 缩 。 静 态 图 片 必须 保持 高 分 辨 率 ， 所 以 将 它们 单 
独 放 在 一 个 服务 器 上 是 比较 妥当 的 。 


























Web 服务 器 
电影 和 图 片 上 


图 6-11 电影 资料 库 的 客户 机 - 服务 器 体系 结构 


要 求 目录 能 够 支持 各 种 查询 ， 能 与 包含 电影 和 视频 片段 的 Web 信息 系统 链接 ， 并 能 与 支持 
发 售 图 片 、 电 影 和 视频 片段 的 电子 商务 系统 保持 链接 。 客 户 机 程序 只 是 对 访问 这 些 服务 提供 一 
个 集成 的 用 户 界面 (用 Web 浏览 器 构造 ) 。 

客户 机 - 服务 器 模型 的 最 大 优势 在 于 它 是 一 个 分 布 式 体系 结构 。 由 许多 分 布 式 处 理 器 构成 
的 网 络 系统 可 提供 更 有 效 的 使 用 。 在 这 样 的 系统 中 ， 添 加 一 台 服 务 器 并 将 它 与 系统 其 余部 分 集 
成 在 一 起 ， 或 透明 地 更 新 服务 器 而 不 影响 系统 的 其 他 部 分 是 很 容易 的 。 第 18 章 将 更 详细 地 讨论 
分 布 式 体系 结构 ， 包 括 客户 机 - 服务 器 体系 结构 和 分 布 式 对 象 体系 结构 。 


6.3.4 管道 和 过 滤器 体系 结构 


最 后 一 个 体系 结构 模式 是 管道 和 过 滤器 模式 ， 见 图 6-12。 这 是 一 个 系统 运行 时 组 织 的 模型 ， 
在 这 个 模型 中 ， 函 数 转换 处 理 输入 并 产生 输出 。 数 据 从 一 个 处 理 单元 流 到 另 一 个 处 理 单元 ， 每 经 
过 一 个 单元 就 做 一 次 变换 。 输 入 数据 流 经 过 这 些 变换 直到 转换 为 输出 。 这 些 转换 可 能 顺序 地 或 
并 行 地 执行 ， 数 据 加 工 可 以 是 一 项 一 项 地 处 理 ， 也 可 以 成 批 处 理 。 

“管道 和 过 滤器 ”的 名 字 最 早出 自 Unix 系统 ， 在 Unix 系统 中 在 链接 进程 时 可 能 会 用 到 “ 管 
道 ”。 这 些 管道 能 从 一 个 进程 到 另 一 个 进程 传递 文本 流 。 遵 照 这 个 模型 的 系统 可 以 通过 组 合 Unix 
命令 、 使 用 管道 和 Unix Shell 控制 工具 来 实现 。“ 过 滤器 ”这 个 词 的 使 用 很 形象 地 描述 了 数据 从 
输入 到 输出 这 样 一 个 过 程 。 
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管道 和 过 滤器 
系统 中 数据 的 处 理 是 这 样 组 织 的 ， 每 个 处 理 组 件 ( 过 滤器 ) 都 是 分 离 的 并 执行 某 个 类 型 的 数据 转 
换 。 数 据 流 (如 在 一 个 管道 中 ) 从 一 个 组 件 流向 另 一 个 组 件 


图 6-13 是 用 于 处 理 集 据 的 管道 和 过 滤器 系统 的 例子 
一 般 应 用 在 数据 处 理应 用 中 〈 批 处 理 和 事务 处 理 ) ， 一 些 不 同 的 阶段 处 理 输入 数据 ， 并 产生 相应 的 输出 


易于 理解 并 支持 变换 的 复 用 。 工 作 流风 格 与 很 多 业务 处 理 体系 结构 很 匹配 。 通 过 添加 变换 的 方式 
进行 进化 是 很 显然 的 。 可 以 实现 为 顺序 的 系统 ， 也 可 以 实现 为 并 发 的 系统 


在 通信 变换 问 所 传输 的 数据 格式 必须 协商 好 。 每 个 变换 必须 解析 它 的 输入 并 写成 约定 的 格式 输出 。 
这 增加 了 系统 的 负荷 ， 意 味 着 不 可 能 复 用 使 用 不 兼容 数据 结构 的 函数 变换 


























图 6-12 管道 和 过 滤器 模式 


自 计算 机 首次 用 于 自动 数据 处 理 以 来 ， 数 据 流 模型 的 多 种 形式 就 被 广泛 使 用 。 当 对 数据 的 
转换 是 顺序 进行 时 ， 这 种 管道 和 过 滤器 体系 结构 就 变 成 了 批 处 理 模型 ， 对 于 像 票据 处 理 系统 这 
样 的 一 类 数据 处 理 系统 ， 这 是 一 个 非常 普通 的 模型 。 底 人 式 系统 的 体系 结构 也 可 能 以 进程 流水 
线 的 形式 组 织 ， 每 一 个 进程 都 是 当前 正在 执行 的 。 这 种 模型 在 嵌 人 式 系统 中 的 应 用 将 会 在 第 20 
章 中 讨论 。 


© enm sms 
关于 系统 中 控制 的 常用 组 织 方法 ， 由 专门 的 体系 结构 模式 来 表达 。 这 些 包括 : 集中 式 控 
制 ， 基 于 一 个 组 件 调用 另 一 个 组 件 ， 以 及 基于 事件 的 控制 ( 系统 响应 来 自 外 部 的 事件 )。 
http://www. SoftwareEngineering-9. com/ Web/ Architecture/ ArchPatterns/ 


这 种 类 型 的 系统 体系 结构 用 于 批 处 理应 用 的 一 个 例子 如 图 6-13 所 示 。 一 个 机 构 给 其 客户 开 
出 账单 。 每 星期 将 付款 与 账单 核对 一 次 ， 若 账单 已 经 支付 ， 则 开 出 收据 ; 若 在 规定 的 时 间 内 尚未 
支付 ， 则 发 出 支付 提醒 。 





图 6-13 ”管道 和 过 滤器 体系 结构 的 实例 


交互 式 系统 很 难 用 管道 和 过 滤器 模型 来 描述 ， 因 为 有 需要 处 理 的 数据 流 的 要 求 。 尽 管 对 于 
简单 本 文 的 输入 和 输出 ， 用 这 个 方法 建 模 是 可 以 的 ， 但 对 图 形 化 的 用 户 界面 来 说 ， 有 比较 复杂 的 
输入 /输出 格式 和 基于 事件 (如 鼠标 点 击 或 菜单 选择 ) 的 控制 策略 ， 将 这 些 翻译 成 与 这 个 数据 流 
模型 兼容 的 格式 是 相当 困难 的 。 


6.4 应 用 体系 结构 


应 用 系统 的 目的 是 要 满足 某 些 商业 和 机 构 的 需要 。 所 有 的 业务 都 是 共通 的 一 ”需要 雇佣 人 
员 、 开 出 发 票 、 记 账 等 。 同 一 个 部 门 中 的 业务 通常 使 用 部 门 特 定 的 应 用 系统 。 因 此 ， 除 了 一 般 
的 业务 功能 ， 所 有 的 电话 公司 需要 系统 去 连通 线路 、 管 理 它们 的 网 络 、 向 客户 开 单据 等 。 因 此 ， 
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这 些 业 务 所 使 用 的 应 用 系统 也 有 很 多 共同 点 。 

这 些 共性 导致 了 用 来 描述 特殊 类 型 软件 系统 的 结构 和 组 成 的 软件 体系 结构 的 发 展 。 应 用 体 
系 结构 封装 了 一 类 系统 的 基本 特征 。 例 如 ， 在 实时 系统 中 ， 就 有 不 同系 统 类 型 的 通用 的 体系 结构 
模型 ， 像 数据 采集 系统 或 监控 系统 。 尽 管 这 些 系统 实例 在 细节 上 有 所 不 同 ， 但 是 当 开发 同一 类 型 
的 新 系统 时 ， 我 们 是 可 以 复 用 通用 体系 结构 架构 的 。 

当 开 发 新 的 系统 时 应 用 体系 结构 往往 要 重新 实现 ， 但 是 对 大 多 数 商 务 系 统 ， 应 用 的 复 用 有 
可 能 不 需要 重新 实现 。 我 们 可 以 看 到 出 自 SAP 和 Oracle 公司 的 企业 资源 规划 (ERP) 系统 以 及 
为 特殊 应 用 所 提供 的 垂直 软件 包 (COTS) 的 增长 。 在 这 些 系统 中 ， 我 们 可 以 发 现存 在 一 个 通用 
的 配置 ， 通 过 调整 它们 来 产生 专门 的 业务 应 用 。 作 为 一 个 例子 ， 供 应 链 管理 系统 可 以 调整 以 面向 
不 同类 型 的 供应 商 、 商 品 以 及 合同 管理 。 


Q ratna 


有 多 个 应 用 体系 结构 的 实例 在 本 书 的 网 页 上 。 它 们 包括 有 关 批 处 理 系统 、 资 源 分 配 系 统 、 
基于 事件 的 编辑 系统 的 描述 。 
http://www. SoftwareEngineering-9. com/Web/ Architecture/ AppArch/ 


作为 一 名 软件 设计 人 员 ， 我 们 可 以 以 多 种 方式 来 使 用 这 些 应 用 体系 结构 模型 

1. 作为 体系 结构 设计 过 程 的 一 个 起 点 ”如 果 我 们 不 熟悉 正在 开发 的 应 用 类 型 ， 我 们 就 可 以 
将 我 们 的 初始 设计 建立 在 一 般 体 系 结构 基础 上 。 当 然 ， 这 些 都 必须 针对 被 开发 的 专门 系统 进行 
特殊 处 理 ， 但 不 管 怎样 ， 它 们 都 是 我 们 设计 的 一 个 很 好 的 开始 。 

2， 作 为 设计 检查 列表 ”如果 我 们 已 经 为 一 个 应 用 系统 完成 了 系统 体系 结构 设计 ， 我 们 可 以 
将 它 与 一 般 应 用 体系 结构 进行 比较 ， 来 检查 我 们 的 设计 是 否 和 一 般 体 系 结构 是 一 致 的 。 

3. 作为 对 开发 团队 工作 的 组 织 方式 ”应 用 体系 结构 寻找 系统 体系 结构 的 稳定 的 结构 特征 ， 
而 且 ， 在 很 多 情况 下 ， 是 可 能 并 行 地 开发 这 些 的 。 我 们 可 以 分 派 任 务 给 团队 成 员 ， 在 同一 个 体系 
结构 框架 下 实现 不 同 的 组 件 。 

4. 作为 评估 组 件 以 便 复 用 的 手段 ”如果 我 们 拥有 组 件 ， 我 们 就 可 以 复 用 它 。 在 希望 复 用 时 ， 
可 以 将 它们 与 一 般 结构 做 比较 来 看 在 应 用 体系 结构 中 是 否 有 类 似 的 组 件 。 

5， 作 为 交流 应 用 类 型 的 词汇 如果 我 们 在 讨论 一 个 特殊 的 应 用 或 者 试图 比较 几 个 具有 相同 
类 型 的 应 用 时 ， 那 么 ， 我 们 就 可 以 使 用 在 一 般 体系 结构 中 所 有 的 概念 来 谈论 应 用 了 。 

有 很 多 种 类 的 应 用 系统 有 时 看 起 来 是 很 不 一 样 的 。 但 是 ， 我 们 发 现 很 多 表面 上 看 风格 炯 异 
的 两 种 应 用 本 质 上 却 是 基本 相同 的 。 通 过 以 下 两 种 应 用 类 型 的 体系 结构 来 说 明 这 一 点 ; 

1. 事务 处 理应 用 ”事务 处 理应 用 是 以 数据 库 为 中 心 的 ， 处 理 来 自用 户 对 信息 的 请 求 并 更 新 
数据 库 的 数据 。 这 些 是 最 为 平常 的 一 类 交互 式 业 务 系统 类 型 。 对 它们 的 组 织 要 能 够 保证 用 户 之 
间 是 不 会 相互 干扰 的 ， 数 据 库 的 整体 性 是 得 到 保障 的 。 这 种 类 型 系统 包括 交互 式 银行 系统 、 电 子 
商务 系统 、 信 息 系 统 和 预订 系统 。 

2. PERERA ”语言 处 理 系统 是 这 样 一 类 系统 ， 用 户 意 图 用 形式 化 语言 ( 比如 Java) 来 
表达 的 系统 。 语 言 处 理 系 统 将 这 种 语言 处 理 成 一 种 内 部 格式 ， 然 后 解释 这 种 内 部 表示 。 我 们 最 为 
熟悉 的 语言 处 理 系统 就 是 编译 器 了 。 它 将 高 层 语言 翻译 成 机 器 代码 。 然 而 ， 语 言 处 理 系统 也 使 用 
在 很 多 其 他 系统 中 ， 比 如 在 数据 库 中 作为 对 命令 语言 的 翻译 ， 在 信息 系统 中 和 在 标记 语言 比如 
XML (Harold 和 Means, 2002; Hunter 等 ，2007) rp, 

之 所 以 选择 这 些 特殊 类 型 系统 是 因为 许多 基于 Web 的 商务 系统 是 事务 处 理 系 统 ， 而 且 所 有 
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的 软件 开发 都 依赖 语言 处 理 系统 。 
6.4.1 事务 处 理 系统 


事务 处 理 系统 (TP) 是 设计 用 来 处 理 用 户 对 数据 库 信息 查询 或 者 请 求 对 数据 库 更 新 的 
(Lewis &&, 2003) 。 从 技术 角度 讲 ， 数 据 库 事务 是 一 个 操作 序列 ， 每 个 这 样 的 操作 可 以 看 成 是 一 
个 单元 〈 原 子 单元 ) 。 事 务 中 的 所 有 操作 都 必须 在 数据 库 永 久 改变 之 前 完成 。 这 确保 在 事务 中 操 
作 失 败 不 会 导致 数据 库 的 不 一 致 性 。 

从 用 户 的 角度 看 ， 事 务 是 任何 一 个 相关 操作 的 序列 ， 这 些 操作 能 达到 某 个 目的 ， 比 如 “ 查 
询 从 伦敦 飞 往 巴 黎 的 班机 的 时 间 ”。 如 果 用 户 事务 不 要 求 数据 库 发 生 改 变 ， 那 么 就 没有 必要 把 它 
作为 数据 库 事 务 。 

事务 的 例子 可 以 是 客户 请 求 使 用 ATM 机 从 银行 账户 上 提取 现金 。 这 包括 : 获得 客户 账户 的 
详细 信息 ， 检 查账 户 余额 ， 修 改 支 取现 金 后 的 账户 余额 ， 发 送 指令 给 ATM 机 输出 现金 。 除 非 所 
有 上 述 步骤 都 已 经 完成 ， 否 则 ， 事 务 是 没有 完成 的 ， 客 户 账 户 数据 库 也 是 不 会 发 生 改 变 的 。 

事务 处 理 系统 总 是 交互 式 系统 ， 用 户 异 步 地 提出 对 服务 的 请 求 。 图 6-14 给 出 了 事务 处 理应 
用 的 概念 体系 结构 。 首 先 ， 用 户 通过 O 处 理 组 件 向 系统 发 出 请 求 。 请 求 会 被 应 用 相关 的 逻辑 进 
行 处 理 。 事 务 得 以 创建 并 传递 给 事务 管理 器 ， 事 务 管理 器 众人 在 数据 库 管理 系统 内 。 在 事务 管理 
器 对 事务 的 正确 完成 检查 完毕 后 ,传递 一 个 信号 给 应 用 ,报告 处 理 已 经 完成 。 


输入 /输出 
处 理 





图 6-14 事务 处 理应 用 的 体系 结构 


事务 处 理 系统 可 以 组 织 成 “管道 和 过 滤器 ”的 结构 ， 分 别 由 系统 组 件 负 责 输入 、 处 理 和 输 
出 。 例 如 ， 人 允许 客户 在 ATM 机 上 查询 账户 余额 和 提取 现金 的 银行 系统 。 这 个 系统 由 两 个 相互 协 
作 的 软件 子 系统 构成 ， 即 ATM 软件 和 位 于 银行 数据 库 服务 器 上 的 账户 处 理 软件 。 输 入 输出 组 件 
实现 为 ATM 机 上 的 软件 ， 而 处 理 组 件 是 位 于 银行 数据 库 服 务 器 上 的 。 图 6-15 显示 了 这 个 系统 的 
体系 结构 ， 说 明了 输入 、 处 理 和 输出 组 件 的 功能 。 


打印 明细 》 





图 6-15 ATM 机 系统 的 软件 体系 结构 


6.4.2 信息 系统 


所 有 涉及 与 共享 数据 库 交互 的 系统 都 可 以 看 成 是 基于 事务 的 信息 系统 。 信 息 系统 允许 对 一 
个 大 信息 库 进 行 适当 的 访问 。 这 些 大 数据 库 例 子 有 图 书馆 书目 库 、 航 班 时 刻 表 、 医 院 的 病人 记录 
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等 。 越 来 越 多 的 信息 系统 是 通过 浏览 器 访问 的 基于 Web 的 系统 。 

图 6-16 是 一 个 信息 系统 的 一 般 模型 。 系 统 是 用 分 层 方法 (在 6.3 节 中 讨论 过 ) ， 顶 层 支 持 用 
户 界面 ， 底 层 是 系统 数据 库 。 用 户 通信 层 处 理 所 有 来 自用 户 
界面 的 输入 和 输出 ， 信 息 检索 层 包括 应 用 相关 的 访问 和 更 新 —— ee 
数据 库 的 逻辑 。 如 我 们 将 在 后 面 看 到 的 ， 这 个 模型 中 的 层 能 3 
直接 映射 到 基于 Internet 系统 的 服务 器 上 。 er -一 

作为 分 层 模型 的 一 个 实例 ， 图 6-17 给 出 了 MHC-PMS 系 ORA 


统 的 体系 结构 。 我 们 知道 这 个 系统 维护 并 管理 那些 具有 心理 
问题 前 来 咨询 专家 的 病人 的 详细 信息 。 在 模型 的 每 一 层 中 都 Le 


增加 了 一 些 详细 内 容 ， 找 出 了 用 于 支持 用 户 通信 、 信 息 检索 
和 访问 的 组 件 : 













图 6-16 分 层 的 信息 系统 体系 结构 


| 


样式 和 菜单 ”数据 有 效 性 | 
管理 器 验证 | 








图 6-17 MHC-PMS 系统 的 体系 结构 


1. 最 上 层 负 责 实现 用 户 接口 。 在 这 个 例子 中 ，UI 是 用 Web 浏览 器 实现 的 。 

2. 第 二 层 提供 用 户 接口 的 功能 ， 这 是 通过 Web 浏览 器 来 传送 的 。 该 层 包 括 允 许 用 户 登录 系 
统 的 组 件 和 确保 他 们 使 用 的 操作 符合 他 们 身份 的 检验 组 件 。 这 一 层 还 包括 显示 信息 给 用 户 的 表 
格 和 菜单 管理 组 件 以 及 核对 信息 一 致 性 的 数据 确认 组 件 。 

3. 第 三 层 实现 系统 的 功能 ， 并 提供 : 实现 有 关系 统 信息 安全 ， 病 人 信息 的 建立 和 更 新 ， 从 
其 他 数据 库 载 人 和 导出 病人 数据 ， 以 及 报告 生成 器 建立 管理 报告 。 

4. 最 后 ， 最 底层 是 使 用 商用 的 数据 库 管理 系统 建立 的 ， 它 提供 事务 管理 和 持久 的 数据 存储 。 

信息 和 资源 管理 系统 现在 通常 是 基于 Web 的 系统 ， 用 户 接口 是 使 用 Web 浏览 器 实现 的 。 例 
如 ， 电 子 商 务 系统 是 一 种 基于 互联 网 的 资源 管理 系统 ， 它 可 以 接受 电子 的 商品 或 服务 的 订单 ， 然 
后 安排 将 商品 或 服务 递送 给 客户 。 在 电子 商务 系统 中 ， 应 用 相关 层 包括 额外 的 功能 ， 支 持 所 谓 的 
“购物 车 ”， 即 用 户 可 以 在 不 同 的 事务 中 购买 多 个 项 目 ， 然 后 在 一 个 事务 中 完成 对 所 有 项 目的 支 
付 。 在 这 些 系 统 中 服务 器 的 组 成 可 以 映射 为 图 6-16 所 示 的 四 层 通用 模型 。 这 些 系统 总 是 实现 为 
多 层 的 客户 机 /服务 器 体系 结构 ， 如 我 们 在 第 18 章 中 所 看 到 的 那样 : 

1. Web 服务 器 负责 对 所 有 用 户 的 通信 ， 用 户 接口 是 Web 浏览 器 实现 的 。 

2. 应 用 服务 器 负责 实现 应 用 相关 的 逻辑 ， 也 包括 信息 存储 和 检索 请 求 。 

3. 数据 库 服务 器 将 信息 从 数据 库 中 移 人 和 移出 ， 并 且 处 理事 务 管理 。 

使 用 多 服务 器 允许 高 吞吐 量 并 且 使 得 在 每 分 钟 内 处 理 数 百 个 事务 成 为 可 能 。 随 着 需求 的 增 
加 ， 可 以 通过 在 每 一 层 增 加 服务 器 来 处 理 额外 的 相关 进程 。 
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6.4.3 语言 处 理 系统 


语言 处 理 系统 把 自然 语言 或 人 工 语言 翻译 成 该 类 语言 的 其 他 表示 ， 对 于 编程 语言 可 能 会 执 
行 产 生 的 代码 。 在 软件 工程 中 ， 编 译 器 把 人 工 的 程序 语言 翻译 成 机 器 码 。 其 他 语言 处 理 系 统 把 
XML 数据 描述 翻译 成 命令 来 查询 数据 库 ， 或 者 翻译 成 替代 XML 的 表示 。 自 然 语 言 处 理 系统 能 把 
一 种 自然 语言 翻译 成 另 一 种 自然 语言 。 比 如 法 语 翻译 成 挪威 语 。 

图 6-18 给 出 了 编程 语言 的 一 种 语言 处 理 系统 的 可 能 的 体系 结构 。 源 语言 指令 定义 了 将 要 执 
行 的 程序 ， 翻 译 器 会 转换 这 些 称 为 抽象 机 指令 。 这 些 指令 然后 由 另 一 个 组 件 解释 ， 它 首先 取 指 
令 ， 然 后 再 〈 在 必要 的 时 候 ) 使 用 来 自 环境 中 的 数据 去 执行 它们 。 该 过 程 的 输出 是 在 输入 数据 
上 的 指令 的 解释 结果 。 

当然 ， 对 于 很 多 编译 器 ， 解 释 器 是 一 个 处 理 机 
器 指令 的 硬件 单元 ， 抽 象 机 是 一 个 真 处 理 器 。 然 
而 ， 对 于 动态 类 型 的 语言 比如 Python， 解 释 器 是 一 
个 软件 组 件 。 

程序 语言 编译 器 是 更 一 般 化 的 编程 环境 的 一 部 
4r, 它 具有 一 般 的 体系 结构 ， 包 括 以 下 组 件 : 

1. 词法 分 析 器 , 将 一 个 输入 的 语言 记号 转换 为 
内 部 形式 ; 

2. 符号 表 ， 保 持 实体 名 字 相 关 的 信息 CER. i 
类 名 字 、 对 象 名 字 等 ) ， 实 体 是 正在 翻译 的 文本 中 图 6-18 语言 处 理 系统 的 体系 结构 
所 使 用 的 实体 ; 

3. 语法 分 析 器 ， 它 检查 正在 翻译 的 语言 的 语法 。 它 使 用 相应 语言 所 定义 的 语法 并 建立 语 
法 树 ; 

4. 语法 树 ， 它 代表 待 编译 程序 的 内 部 结构 ; 

5. 语义 分 析 层 ， 它 使 用 来 自 语法 树 和 符号 表 的 信息 来 检查 输入 的 语言 文本 的 语义 正确 性 ; 

6. 代码 生成 器 ， 它 在 语法 树 中 穿行 并 生成 抽象 机 代码 。 










© 参考 体系 结构 


参考 体系 结构 捕捉 领域 内 的 系统 体系 结构 的 重要 特征 。 昌 然 本 质 上 它们 包括 应 用 体系 结 

构 中 的 每 一 样 东西 ， 但 是 事实 上 ， 单 独 一 个 应 用 不 太 可 能 包括 参考 体系 结构 中 的 所 有 特征 。 
参考 体系 结构 的 主要 目的 在 于 评估 和 比较 设计 提议 ， 以 及 在 领域 内 部 培训 体系 结构 的 知识 。 
http://www. SoftwareEngineering-9. com/Web/ Architecture/ RefArch. html/ 


也 还 会 有 其 他 一 些 组 件 ， 这 些 组 件 可 能 用 于 从 所 生成 的 机 器 代码 中 分 析 和 变换 语法 树 来 提 
高 效率 和 降低 宛 余 。 在 其 他 类 型 语言 处 理 系统 中 ， 比 如 自然 语言 翻译 器 将 有 附加 的 组 件 比 如 字 
典 组 件 ， 所 生成 的 代码 实际 上 是 用 其 他 语言 所 表示 的 输入 文本 。 

在 语言 处 理 系统 中 可 能 会 用 到 的 还 有 另外 可 用 的 体系 结构 模式 (Garlan 和 Shaw ，1993)。 编 
译 器 可 以 用 容器 和 管道 过 滤器 的 复合 模型 实现 。 在 编译 器 的 体系 结构 中 ， 符 号 表 是 共享 数据 容 
器 。 在 词法 分 析 、 语 法 和 语义 分 析 阶 段 组 成 一 个 串 行 结构 ， 如 图 6-19 所 示 ， 它 们 之 间 的 通信 是 
通过 共享 符号 表 实 现 的 。 
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图 6-19 ”编译 器 的 管道 和 过 滤器 体系 结构 


语言 编译 的 管道 和 过 滤器 模型 对 于 程序 的 编译 和 执行 无 需 用 户 交互 的 批 处 理 环境 是 很 有 效 的 。 
例如 ， 把 一 个 XML 文件 翻译 成 另 一 个 文件 。 而 对 于 集成 了 其 他 语言 处 理工 具 ， 比 如 结构 化 编辑 系 
统 、 交 互 式 调试 工具 或 者 是 程序 的 格式 转换 器 ， 它 就 不 那么 有 效 了 。 在 这 种 情况 下 ， 来 自 一 个 组 件 
的 变化 需要 立即 反映 到 其 他 的 组 件 中 来 。 因 此 ， 系 统 最 好 组 织 成 容器 的 模型 ， 如 图 6-20 所 示 。 

图 6-20 说 明了 一 个 语言 处 理 系统 是 如 何 成 为 集成 化 编程 支持 工具 的 一 部 分 的 。 在 这 个 例子 
中 ， 符 号 表 和 语法 树 是 作为 中 央 信息 容器 的 。 工 具 或 小 程序 通过 它 来 实现 通信 。 其 他 的 原先 可 能 
散人 在 工具 内 部 的 信息 ， 比 如 语法 定义 和 程序 的 输出 格式 定义 等 ， 已 经 被 提取 出 来 并 放 人 这 个 
容器 中 。 因 此 ， 语 法 制 向 的 编辑 器 能 够 在 程序 输入 时 检查 程序 的 语法 是 正确 的 ， 而 程序 格式 转换 
器 能 够 以 一 种 十 分 方便 阅读 的 格式 创建 程序 清单 。 





图 6-20 语言 处 理 系统 的 容器 体系 结构 


要 点 


u 软件 体系 结构 是 有 关 软 件 系 统 如 何 组 织 的 描述 。 系 统 的 性 质 ， 比 如 性 能 、 信 息 安全 性 和 可 
用 性 ， 都 受到 所 使 用 体系 结构 的 影响 。 

n 体系 结构 设计 决策 包括 对 应 用 类 型 的 决策 、 系 统 分 布 的 决策 、 所 使 用 的 体系 结构 风格 的 决 
策 ， 以 及 对 体系 结构 应 该 如 何 文档 化 和 评估 的 决策 。 

m 体系 结构 可 能 会 从 许多 不 同 的 视角 和 视图 被 文档 化 。 可 能 的 视图 包括 概念 视图 、 逻 辑 视 
图 、 进 程 视 图 、 开 发 视图 和 物理 视图 。 

里 体系 结构 模式 是 复 用 通用 的 〈 一 般 的 ) 系统 体系 结构 知识 的 一 种 方法 。 它 描述 体系 结构 ， 
解释 这 样 的 体系 结构 的 使 用 时 机 以 及 它 的 优 缺 点 。 

n 应 用 较 多 的 体系 结构 模式 有 MVC、 分 层 体系 结构 、 容 器 结构 、 客 户 机 - 服务 器 结构 ， 以 
及 管道 和 过 滤器 结构 。 

里 应 用 系统 体系 结构 的 一 般 模型 能 帮助 我 们 理解 应 用 的 运作 ， 比 较 相 同类 型 的 应 用 ， 验 证 系 


第 6 章 体系 结构 设计 - 


应 用 系统 设计 的 有 效 性 并 能 达到 对 大 粒度 组 件 的 复 用 。 

m 事务 处 理 系统 是 交互 式 系 统 ， 人 允许 数据 库 中 的 信息 被 很 多 远程 用 户 访问 和 修改 。 信 息 系 统 
和 资源 管理 系统 是 事务 处 理 系统 的 例子 。 

n 语言 处 理 系统 用 来 将 文本 从 一 种 语言 翻译 成 另 一 种 语言 ， 来 执行 输入 语言 所 定义 的 指令 。 
它们 包括 一 个 翻译 器 和 一 个 执行 生成 的 语言 的 抽象 机 。 


进一步 阅读 材料 

(Software Architecture; Perspectives on an Emerging Discipline) 这 是 第 一 本 关于 软件 体系 结 
构 的 书 ， 书 中 有 关于 不 同体 系 结构 风格 的 很 好 的 讨论 (M. Shaw and D. Garlan, Prentice-Hall, 
1996) , 

(Software Architecture in Practice, 2nd ed) 该 书 是 对 软件 体系 结构 的 实际 讨论 ， 它 不 是 对 
体系 结构 设计 的 好 处 的 宣扬 ， 而 是 给 出 了 一 个 清晰 的 工作 原理 ， 说 明 为 什么 体系 结构 是 重要 的 
(L. Bass, P. Clements 和 R. Kazman, Addslon-Wesley, 2003), 

"The Golden Age of Software Architecture" ”这 篇 论文 纵览 了 软件 体系 结构 从 20 世纪 80 年 代 开 
始 到 目前 使 用 的 发 展 过 程 。 其 中 技术 内 容 不 多 , 却 是 一 篇 有 趣 的 历史 性 概述 。 (M. Shaw 和 
P. Clements, IEEE Software, 21 (2), March-April 2006. ) http: //dx. doi. org/10. 1109/MS. 2006. 58 。 

(Handbook of Software Architecture) ”这 是 一 部 Grady Booch 正在 编写 的 著作 ，Grady Booch 是 软件 
体系 结构 早期 的 传道 士 。 他 已 经 记载 了 一 系列 的 软件 系统 的 体系 结构 ， 所 以 我 们 看 到 的 绝对 不 是 单单 
的 学 术 上 的 抽象 概念 。 网 上 提供 并 且 将 要 出 版 。http: //www. handlebookofsoftwarearchitecture: com 。 


练习 


6.1. 当 描 述 一 个 系统 时 ， 解 释 为 什么 我 们 必须 在 应 用 需求 完成 之 前 设计 系统 体系 结构 。 

6.2 假如 一 个 不 懂 技 术 的 管理 者 要 求 我 们 准备 并 且 提交 一 份 报告 来 证 明 为 一 个 新 项 目 雇佣 一 个 系统 架构 师 
是 有 道理 的 。 在 我 们 的 报告 中 用 简要 文字 列 出 要 点 。 当 然 ， 我 们 必须 解释 什么 是 系统 体系 结构 。 

6.3 解释 为 什么 在 设计 可 用 性 和 信息 安全 性 需求 都 是 最 为 重要 的 非 功能 性 需求 的 系统 的 体系 结构 时 会 发 生 
设计 冲突 。 

6.4 ”画图 说 明 以 下 系统 体系 结构 的 概念 视图 和 过 程 视图 : 
地 铁 乘客 使 用 的 自动 售票 系统 。 
电脑 控制 的 视频 会 议 系统 ， 系 统 包括 视频 、 音 频 以 及 同时 显示 给 多 个 参与 者 的 电脑 数据 。 
机 器 人 清理 地 板 系统 ， 这 个 系统 想 要 清理 相对 干净 的 场所 ， 比 如 走廊 。 清 理 者 必须 能 够 觉察 到 墙 面 和 
其 他 障碍 物 。 

6.5 解释 为 什么 在 为 一 个 大 型 系统 设计 体系 结构 的 时 候 我 们 通常 会 使 用 多 种 体系 结构 模式 。 除 去 本 章 中 讨 
论 的 关于 模式 的 知识 ， 在 设计 大 型 系统 的 时 候 还 有 其 他 有 用 的 知识 吗 ? 

6.6 针对 在 线 出 售 和 发 布 音乐 的 系统 〈 比如 iTunes) 推荐 一 种 体系 结构 ， 这 种 体系 结构 的 基础 是 什么 结构 
模型 ? 

6.7 解释 我 们 将 如 何 使 用 CASE 环境 的 参考 模型 (在 本 书 的 网 页 土 提供 的 ) 来 比较 不 同 程序 语言 ( 比如 
Java) 提供 商 提 供 的 IDE。 . 

6.8 使 用 这 里 介绍 的 语言 处 理 系 统 的 一 般 模型 ， 设 计 接收 自然 语言 命令 并 能 将 它们 翻译 成 如 SQL 这 样 的 
语言 的 数据 库 查 询 语句 的 系统 的 体系 结构 。 

6.9 使 用 如 图 6-16 所 示 的 信息 系统 基本 模型 ， 说 明 允 许 用 户 观察 班机 到 达 和 离开 某 个 空港 信息 的 信息 系 
统 的 组 件 组 成 。 

6.10 是 否 应 该 存在 一 位 单独 的 软件 架构 师 的 职业 ， 它 的 角色 是 独立 地 与 客户 一 起 设计 软件 系统 的 体系 结 
构 ? 一 个 单独 的 软件 公司 将 要 实现 系统 ， 设 立 这 样 的 一 个 职业 的 困难 会 是 什么 ? 
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» » e 
设计 与 实现 
目标 
本 章 的 目标 是 介绍 运用 UML 进行 面向 对 象 软件 设计 ， 并 强调 重要 的 实现 问题 。 读 完 本 章 ， 
你 将 了 解 以 下 内 容 : 


m 理解 一 般 的 面向 对 象 设计 过 程 中 最 重要 的 活动 ; 
uw 理解 用 于 记录 面向 对 象 设 计 的 一 些 不 同 的 模型 ; 
m 知道 设计 模式 的 思想 ， 以 及 如 何 将 其 用 于 设计 知识 和 经 验 的 复 用 ; 
m 了解 实现 软件 时 需要 考虑 的 关键 因素 ， 包 括 软 件 复 用 和 开源 开发 。 


软件 设计 和 实现 是 软件 工程 过 程 中 的 一 个 阶段 ， 在 此 阶段 开发 出 可 执行 的 软件 系统 。 对 简 
单 的 系统 来 说 ， 软 件 设计 和 实现 就 是 软件 工程 的 全 部 ， 其 他 的 所 有 活动 都 融 汇 在 这 个 过 程 中 。 但 
是 ， 对 于 大 型 的 系统 ， 软 件 设 计 和 实现 只 是 一 系列 软件 工程 过 程 〈 如 需求 工程 、 检 验 和 有 效 性 
验证 等 ) 中 的 一 个 。 

软件 设计 和 实现 活动 总 是 交叉 进行 的 。 软 件 设计 是 创造 性 活动 ， 我 们 可 以 基于 客户 的 需求 
识别 系统 组 件 及 其 关系 。 实 现 是 将 设计 转变 为 程序 的 过 程 。 有 时 有 一 个 独立 的 设计 阶段 完成 设 
计 建 模 和 文档 化 。 有 时 设计 在 程序 员 的 脑 中 完成 或 者 粗略 地 在 白板 或 草稿 纸 上 绘 制 草图 来 完成 。 
设计 是 关于 如 何 解 决 问题 的 活动 ， 因 此 通常 有 一 个 设计 过 程 。 但 是 ， 用 UML 及 其 他 描述 语言 描 
述 设计 并 不 总 是 必要 或 者 合适 的 。 

设计 和 实现 是 紧密 相连 的 ， 因 此 我 们 通常 需要 在 设计 的 过 程 中 考虑 到 实现 的 因素 。 例 如 ， 对 
于 用 面向 对 象 语言 (如 Java RCH 开发 来 说 ， 用 UML 来 记录 设计 是 很 好 的 方法 。 但 是 对 于 用 动 
态 语言 (如 Python) 开发 ，UML 则 不 是 那么 有 用 ; 如 果 系 统 的 实现 采用 的 方法 是 配置 现成 的 包 ， 
那么 UML 就 一 点 作用 也 没有 了 。 第 3 章 中 已 经 讨论 过 ， 人 敏捷 方法 通常 用 非 正式 的 草图 设计 形式 ， 
因此 赋予 编程 人 员 很 多 决定 权 。 

软件 项 目 早期 要 决定 的 最 重要 的 实现 决策 之 一 就 是 应 该 购买 还 是 构建 应 用 软件 。 目 前 在 很 
广泛 的 应 用 领域 中 都 可 以 购买 商业 现货 系统 (COTS) ， 然 后 根据 用 户 需求 进行 调整 和 裁剪 。 举 例 
来 说 ， 我 们 想 开 发 一 个 医疗 记录 系统 ， 那 么 可 以 购买 医院 中 已 经 使 用 的 程序 包 。 采 用 这 种 方法 的 
开发 成 本 会 更 低 ， 相 对 于 常规 的 用 编程 语言 开发 的 方法 ， 开 发 速度 也 更 快 。 

采用 这 种 方式 开发 应 用 程序 时 ， 设 计 过 程 要 集中 考虑 如 何 配置 这 些 功 能 ， 使 得 系统 可 以 满 
足 现 有 需求 。 通 常 不 需要 为 系统 做 设计 模型 ， 如 系统 对 象 及 其 交互 的 模型 。 第 16 章 将 对 基于 
COTS 的 方法 进行 论述 。 

假设 本 书 的 读者 大 多 具备 编程 和 实现 的 经 验 ， 这 些 经 验 是 我 们 学 习 编程 并 精通 某 种 语言 
(如 Java 或 Python) 所 需要 的 。 你 可 能 已 经 学 到 了 编程 语言 中 良好 的 编程 习惯 ， 以 及 如 何 调试 开 
发 的 程序 。 因 此 ， 在 此 并 不 涉及 编程 的 话题 。 本 章 有 如 下 两 个 目标 : 

1. 在 面向 对 象 软件 设计 的 实践 中 ， 如 何 实现 系统 建 模 和 体系 结构 设计 (已 在 第 5 章 和 第 6 
章 中 讨论 )。 

2. 介绍 有 关 编 程 的 书 中 并 未 涉及 的 重要 实现 问题 。 包 括 软 件 复 用 、 配 置 管 理 和 开源 开发 。 

由 于 开发 的 平台 很 多 ， 本 章 不 着 重 面向 任何 特定 的 编程 语言 或 实现 技术 。 因 此 ,采用 UML 
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来 描述 所 有 的 例子 ， 而 不 是 用 某 种 特定 的 编程 语言 ， 如 Java 或 Python。 


O 生物 化 设计 方法 


结构 化 设计 方法 建议 ,软件 设计 应 该 以 一 种 有 条 理 的 方法 加 以 解决 。 设 计 一 个 系 统 需 要 
闽 从 该 方法 的 步 又 并 逐步 细 化 系统 的 设计 到 各 个 细 节 层 次 。 在 20 世纪 90 年 代 ， 出 现 了 多 个 面 
向 对 象 设计 的 好 方法 。 然 而 ， 最 常 使 用 的 方法 的 开创 者 们 聚集 在 一 起 并 提出 了 UML, HAT 
不 同方 法 的 符号 进行 了 统一 。 
现在 ， 讨 论 的 焦点 不 是 方法 ， 而 是 过 程 ， 在 此 ， 设 计 被 看 成 总 的 软件 开发 过 程 的 一 部 分 
Rational 统一 过 程 (RUP) 是 通用 开发 过 程 的 一 个 典范 。 
http: //www. SoftwareEngineering-9. com/ Web/ Structured-methods/ 





7.1 利用 UML 进行 面向 对 象 设计 

面向 对 象 系统 是 由 一 组 相互 交互 的 对 象 所 组 成 ， 这 些 对 象 维护 它们 自己 的 局 部 状态 并 对 这 
些 状态 提供 操作 。 对 状态 的 表示 是 私有 的 ， 不 能 被 外 部 对 象 直 接 访问 。 对 象 设 计 过 程 包括 设计 对 
象 类 和 这 些 类 之 间 的 关系 。 这 些 类 定义 了 系统 中 的 对 象 和 它们 的 交互 。 当 设计 被 实现 为 一 个 执 
行 系统 的 时 候 ， 对 象 从 它们 的 类 定义 中 被 动态 创建 出 来 。 1 

面向 对 象 的 系统 比 起 用 功能 方法 开发 出 来 的 系统 更 容易 改变 。 对 象 中 包含 数据 及 处 理 这 些 
数据 的 操作 ， 因 此 它们 可 以 被 当做 一 个 独立 的 实体 去 理解 和 修改 ， 变 更 对 象 的 实现 或 者 往 对 象 
中 添加 服务 不 应 该 影响 系统 中 其 他 的 系统 对 象 。 因 为 对 象 与 真实 事物 相关 ， 因 此 ， 在 真实 世界 中 
的 实体 〈 例 如 ， 硬 件 组 件 ) 和 系统 中 的 控制 对 象 之 间 存 在 清晰 的 映射 。 这 一 点 增进 了 可 理解 性 ， 
进而 也 增进 了 设计 的 可 维护 性 。 

开发 系统 设计 ， 册 概念 设计 转变 为 详细 的 面向 对 象 的 设计 ， 需 要 完成 如 下 几 点 : 
. 了 解 并 定义 上 下 文 和 与 系统 的 外 部 交互 。 
. 设计 系统 体系 结构 。 
. 识别 出 系统 中 的 主要 对 象 。 
. 开发 设计 模型 。 
. 定义 对 象 接口 。 

正如 所 有 的 创意 性 活动 一 样 ， 设 计 并 不 是 一 个 清晰 、 顺 序 的 过 程 。 设 计 是 一 个 获得 设计 理 
念 ， 提 出 方案 ， 并 随 着 信息 的 收集 来 精练 方案 的 过 程 。 当 问题 出 现 的 时 候 ， 我们 将 不 可 避免 地 回 
溯 和 重 试 这 个 过 程 。 有 时 需要 详细 地 探究 自己 的 选择 是 否 可 行 ， 而 有 时 又 会 忽略 细节 直到 过 程 
的 后 期 阶段 。 因 此 ， 不 能 用 一 张 简单 的 图 来 描述 这 个 过 程 ， 因 为 图 的 形式 容易 让 人 误 认 为 设计 是 
一 个 顺序 的 过 程 。 而 事实 上 ， 上 述 所 有 活动 都 是 交织 在 一 起 并 互相 影响 的 。 

下 面 通过 第 1 章 中 介绍 的 野外 气象 站 系统 这 个 案例 的 设计 部 分 来 讲解 这 些 活动 。 野外 气象 站 
部 署 在 远程 的 区 域 ， 每 个 气象 站 记录 当地 的 气象 信息 ， 并 通过 卫星 链接 将 这 些 信息 定期 传输 给 
气象 信息 系统 。 


7.1.1 系统 上 下 文 与 交互 


任何 软件 设计 过 程 的 第 一 阶段 都 是 去 了 解 待 开发 软件 和 外 部 环境 之 间 存 在 的 关系 。 必 须 做 
出 决策 ， 以 确定 如 何 提供 系统 所 需要 的 功能 以 及 如 何 构成 系统 以 便 它 能 有 效 地 与 环境 进行 通信 。 
理解 上 下 文 还 对 系统 边界 的 建立 有 所 帮助 。 
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设置 系统 上 下 文 边界 有 助 于 我 们 决定 什么 特征 是 在 建 系统 中 实现 的 ， 哪 些 特征 是 存在 于 其 
他 关联 系统 中 的 。 在 此 情况 下 ， 你 需要 确定 功能 在 负责 所 有 气象 站 的 控制 系统 和 气象 站 自身 的 
谋 入 式 软件 两 者 间 的 分 布 。 

系统 上 下 文 模型 和 交互 模型 可 以 互 为 补充 ， 呈现 出 系统 和 环境 之 间 的 关系 : 

l. 系统 上 下 文 模型 是 一 个 结构 模型 ， 描 述 开发 中 的 系统 所 处 环境 中 的 其 他 系统 。 

2. 交互 模型 是 一 个 动态 模型 ， 表 明 系 统 在 运行 中 是 如 何 与 环境 交互 的 。 












E 气象 站 系统 用 例 

报告 天 气 一 一 发 送气 象 数据 至 气象 信息 系统 

报告 状态 一 一 发 送 状态 信息 至 气象 信息 系统 

重新 启动 一 一 如 果 气 象 站 系统 已 关闭 ， 则 重新 启动 系统 

关机 一 一 关闭 气象 站 

重 配 置 一 一 重新 配置 气象 站 软件 

节 电 一 一 将 气象 站 设 定 为 节 电 模式 

远程 控制 向 任意 气象 站 子 系统 发 送 控 制 指令 

http: //www. SoftwareEngineering-9. com/Web/WS/ Usecases. html 





系统 的 上 下 文 模型 可 以 用 关联 来 表示 。 关 联 可 以 简单 地 表示 出 关联 所 涉及 的 实体 之 间 存 在 
的 关系 ， 此 时 确定 了 关系 的 性 质 。 因 此 我 们 可 以 用 简单 的 框图 表示 系统 环境 ， 以 描述 系统 中 的 实 
体 及 其 关联 。 如 图 7-1 所 示 的 是 每 个 气象 站 所 在 环境 中 的 系统 都 包含 气象 信息 系统 、 机 载 卫星 系 
统 和 控制 系统 。 连 线 上 的 基数 关系 说 明 环 境 中 有 一 个 控制 系统 ， 但 有 多 个 气象 站 ， 以 及 一 个 卫星 


和 一 个 通用 气象 信息 系统 。 
ee 








图 7-1 气象 站 系统 上 下 文 


当 要 对 系统 和 环境 间 的 交互 建 模 时 ， 需 要 使 用 无 需 太 多 细节 的 抽象 方法 。 实 现 这 一 点 的 一 
种 方法 是 采用 用 例 模 型 。 在 第 A 章 和 第 5 章 已 经 讨论 过 ， 每 个 用 例 代表 一 个 与 系统 的 交互 过 程 。 
每 个 可 能 的 交互 用 一 个 带 有 名 字 的 椭圆 来 表示 ， 外 部 参与 交互 的 实体 用 一 个 人 形 图 形 来 表示 。 

气象 站 系统 的 用 例 模型 如 图 7-2 所 示 ， 图 中 表明 气象 站 通过 与 气象 信息 系统 的 交互 来 报告 气 
象 数据 以 及 气象 站 硬件 的 状态 。 其 余 的 交互 则 是 与 发 出 具体 气象 站 指令 的 控制 系统 进行 的 。 第 5 
章 解释 过 ， 一 个 人 形 图 形 在 UML 中 表示 其 他 系统 以 及 人 类 用 户 。 

这 些 用 例 中 的 每 一 个 都 应 用 结构 化 的 自然 语言 来 描述 ， 这 有 助 于 设计 者 识别 系统 中 的 
对 象 和 理解 系统 的 意图 。 这 里 使 用 一 种 标准 格式 以 清楚 地 描述 要 交换 什么 信息 、 交 互 是 如 
何 被 启动 的 等 。 图 7-3 给 出 了 图 7-2 中 报告 天 气 用例 的 描述 。 其 余 一 些 用 例 的 例子 可 以 在 网 
上 找到 。 
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控制 系统 





远程 控制 


7-2 气象 站 系统 用 例 








系统 气象 站 系统 
用 例 报告 天 气 

气象 信息 系统 ， 气 象 站 
= 气象 站 向 气象 信息 系统 发 送 一 段 时 间 内 仪器 采集 的 气象 数据 汇总 。 数 据 包括 地 表 和 空 























气 的 最 大 、 最 小 和 平均 温度 ， 大 气压 强 的 最 大 、 最 小 和 平均 值 ， 风 速 的 最 大 、 最 小 和 平 
均值 ， 总 降水 量 ， 以 及 每 五 分 钟 间隔 采样 的 风向 统计 


气象 信息 系统 与 气象 站 建立 卫星 通信 和 链 路 ， 并 要 求 传输 数据 
向 气象 信息 系统 发 送 汇总 的 数据 
Maa, RHEE CARES, 但 不 同 气象 站 的 频率 会 有 所 不 同 ， 也 可 能 会 在 











响应 











备注 





图 7-3 用 例 描述 一 一 报告 天 气 


7. 1.2 体系 结构 的 设计 


一 旦 完成 软件 系统 与 系统 所 在 环境 间 交 互 的 定义 ,就 可 以 将 这 些 信 息 作为 系统 体系 结构 设 
计 的 基础 。 当 然 ， 还 需要 结合 有 关 体 系 结构 设 计 的 一 般 性 知识 和 具体 的 领域 知识 。 首 先 识别 出 组 
成 系统 的 主要 组 件 以 及 它们 之 间 的 交互 ， 然 后 运用 一 种 体系 结构 模式 ， 如 分 层 模式 或 客户 机 - 
服务 器 模式 ， 来 组 织 这 些 组 件 。 但 这 些 在 此 阶段 并 不 是 必要 的 。 

气象 站 软件 的 高 层 体系 结构 设计 如 图 7-4 所 示 。 气 象 站 由 独立 的 子 系统 组 成 ， 它 们 之 间 通 过 
共有 的 设备 进行 广播 消息 来 实现 通信 ， 如 图 7-4 中 的 通信 链 路 所 示 。 每 一 个 子 系统 都 监听 这 个 基 
础 设备 ， 以 获取 发 送 给 它们 的 消息 。 除了 第 6 章 介 绍 的 体系 结构 风格 ， 这 也 是 一 种 常见 的 类 型 。 

举例 来 说 ， 当 通信 子 系统 接收 到 控制 指令 ， 如 关机 ， 这 条 指令 同时 也 被 所 有 其 他 子 系统 接 
M, RE TRIERA TIIE. 这 种 体系 结构 的 主要 优点 在 于 它 易于 支持 不 同 本 
置 的 子 系统 ， 因 为 消息 的 发 送 方 无 需 特 别 指定 消息 的 接收 子 系统 。 
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«subsystem» 
通信 





图 7-4 气象 站 系统 的 高 层 体系 结构 


如 图 7.5 所 示 的 是 数据 采集 子 系统 的 体系 结构 ， 已 经 包含 在 图 7-4 Hh, Transmitter 和 Receiver 
对 象 与 通信 管理 有 关 ，WeatherData 对 象 封装 仪器 采集 的 信息 并 将 其 传输 给 气象 信息 系统 。 这 种 
结构 属于 生产 者 - 消费 者 模式 ,将 在 第 20 章 中 讨论 。 


Data Collection 


Transmitter Receiver 


WeatherData 





图 7-5 数据 采集 系统 体系 结构 


7.1.8 ”对象 类 识别 


在 设计 过 程 的 这 个 阶段 之 前 ， 我 们 已 经 对 正在 设计 的 系统 中 的 主要 对 象 有 了 一 些 认识 。 随 
着 对 设计 的 理解 逐步 加 深 ,我 们 会 精炼 这 些 关于 系统 对 象 的 想法 。 用 例 描述 有 助 于 识别 系统 中 
的 对 象 及 其 操作 。 从 报告 天 气 用 例 的 描述 可 以 看 出 ， 显 然 需要 有 对 象 来 代表 采集 数据 的 仪器 ， 同 
时 也 会 有 一 个 对 象 代表 汇总 好 的 气象 数据 。 通 常 还 需要 一 个 高 层 系统 对 象 或 若干 用 来 封装 用 例 
中 所 定义 的 系统 交互 的 对 象 。 分 析出 这 些 对 象 后 ， 我 们 就 可 以 开始 识别 系统 中 的 对 象 类 了 。 

关于 该 如 何 识别 面向 对 象 系统 中 的 对 象 类 有 各 种 不 同 的 建议 : 

1. 对 要 构造 的 系统 的 自然 语言 描述 做 文法 分 析 。 对 象 和 属性 是 名 词 ， 操 作 或 服务 是 动词 
(Abbott, 1983), 

2. 使 用 应 用 领域 中 的 真实 实体 〈 例 如 ， 飞 机 ) 、 职 务 〈 例 如 ， 管 理 者 或 医生 ) F (D 
an, WOR), LE (AM, SM). wE (BM, MAB). MMB (MIM, 公司) 5€ (Coad 
和 Yourdon, 1990; Shlaer 和 Mellor, 1988; Wirfs - Brock $, 1990), 

3. 使 用 基于 脚本 的 分 析 识别 出 系统 使 用 的 各 个 脚本 ， 并 依次 对 其 进行 分 析 。 在 每 个 脚本 分 
析 过 程 中 ， 分 析 人 员 要 识别 出 需要 的 对 象 、 属 性 和 操作 (Beck 和 Cunningham, 1989), 

在 实际 过 程 中 ， 必 需 综 合 使 用 许多 知识 来 发 现 对 象 类 。 先 是 从 非 形 式 化 的 系统 描述 中 识别 
出 对 象 类 、 属 性 和 操作 ， 之 后 再 使 用 应 用 域 知识 和 脚本 分 析 来 细 化 和 扩展 这 些 对 象 。 这 些 信息 可 
能 来 自 需求 文档 ， 也 可 能 来 自 与 用 户 的 讨论 或 是 对 现存 系统 的 分 析 。 

在 野外 气象 站 系统 中 ， 对 象 识 别 基于 系统 中 的 有 形 硬 件 。 受 篇 幅 所 限 ， 没 有 在 此 列举 出 全 部 
系统 对 象 ， 仅 在 图 7-6 中 列 出 5 431 $825, Ground Thermometer (地 表 气 温 计 )、Anemometer ( 风 
Wit) 和 Barometer (气压 计 ) 对 象 属于 应 用 域 对 象 ， 从 系统 描述 和 场景 (用例) 描述 中 识别 出 
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了 WeatherStation 和 WeatherData 对 象 : 


WeatherStation 


reportWeather ( ) 
reportStatus ( ) 
powerSave (instruments) 
remoteControl (commands) 
reconfigure (commands) 
restart (instruments) 
shutdown (instruments) 


Ground 
Thermometer 
gt Ident 
temperature 


get() 
test() 




















airTemperatures 
groundTemperatures 
windSpeeds 
windDirections 
pressures 

rainfall 


collect ( ) 
summarize ( ) 


an Ident 
windSpeed 
windDirection height 


.| test () test () 
7-6 气象 站 系统 中 的 对 象 


1. Weatherstation 对 象 类 提供 气象 站 与 其 环境 之 间 的 基本 接口 。 它 的 操作 反映 了 在 图 7-3 中 
给 出 的 交互 。 在 这 一 情形 下 ， 使 用 一 个 单一 对 象 类 来 封装 所 有 这 些 交 互 ， 而 在 其 他 的 设计 中 ,使 
用 多 个 类 提供 系统 接口 可 能 更 合适 。 

2. WeatherData 对 象 类 负责 处 理 报告 天 气 指令 ， 从 气象 站 仪器 向 气象 信息 系统 发 送 汇 总 的 
数据 。 

3. Ground Thermometer, Anemometer 和 Barometer 对 象 类 是 与 系统 中 仪器 直接 相关 的 对 象 类 。 
它们 反映 了 系统 中 的 有 形 硬件 实体 ， 操 作 就 是 对 这 些 硬件 的 控制 。 这 些 对 象 以 某 些 特定 频率 自 
动 采 集 数 据 并 在 本 地 进行 存储 。 这 些 数 据 在 得 到 请 求 时 传输 给 WeatherData 对 象 。 

运用 应 用 域 知识 可 以 识别 出 其 他 对 象 、 属 性 和 服务 。 我 们 知道 气象 站 通常 位 于 偏远 的 地 区 ， 
而 各 种 仪器 有 时 会 出 现 故 障 ， 仪 器 故障 应 该 自动 报告 。 这 就 意味 着 需要 一 些 属性 和 操作 来 检查 
仪器 是 否 在 正常 运转 。 由 于 有 很 多 远程 气象 站 ， 因 此 每 个 气象 站 需要 有 自己 的 标识 符 (D). 

在 设计 过 程 的 这 个 阶段 ， 需 要 专注 于 对 象 本 身 ， 而 不 去 想 它们 的 实现 方法 。 一 旦 识别 出 对 
象 ， 就 要 进行 对 象 设计 的 精练 ， 在 对 象 间 寻 找 共同 点 并 为 系统 设计 继承 层次 。 例 如 ， 定 义 一 个 
Instrument 超 类 ， 包 含 所 有 仪器 的 共同 点 ， 例 如 一 个 标识 符 、get 操作 和 test 操作 。 也 可 以 向 超 类 
添加 新 属性 和 操作 ， 例 如 维护 数据 采集 频率 的 属性 。 


7.1.4 设计 模型 


设计 或 系统 模型 ， 如 第 5 章 中 所 讨论 的 ， 表 示 系 统 中 包含 的 对 象 或 对 象 类 ， 同 时 也 描述 了 实 
体 间 的 关联 与 关系 。 这 些 模型 是 系统 需求 和 系统 实现 之 间 的 桥梁 。 首 先是 对 模型 进行 抽象 ， 不 要 
让 琐碎 的 细节 信息 扰乱 了 我 们 对 系统 需求 的 正确 理解 ， 同时， 设计 模型 也 必须 为 程序 员 提 供 充 
分 的 细节 以 便 做 出 实现 决策 。 

一 般 地 ， 为 了 避免 这 类 冲突 ， 可 在 不 同 细节 层次 开发 不 同 的 模型 。 当 需求 工程 人 员 、 设 计 者 
和 程序 员 之 间 联 系 紧密 时 ， 可 能 只 需要 一 个 抽象 模型 就 可 以 了 ， 详 细 的 设计 决策 可 以 放 到 系统 
实现 时 再 做 ， 同 时 用 非 正式 的 讨论 形式 解决 问题 。 当 系统 描述 者 、 设 计 者 和 程序 员 之 间 是 间接 联 
系 的 (举例 来 说 ， 系 统 由 机 构 的 一 个 部 门 设计 而 由 其 他 部 门 来 实现 ) ， 就 需要 更 详细 的 模型 了 。 

因此 ,设计 过 程 中 的 一 个 重要 步 又 就 是 要 决定 需要 什么 样 的 设计 模型 和 设计 模型 的 细节 层 




















bar Ident 
pressure 
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次 。 这 也 依赖 于 所 开发 的 系统 类 型 。 设 计 一 个 顺序 处 理 数据 的 系统 不 同 于 设计 一 个 实时 谍 人 式 
系统 ， 因 此 需要 不 同 的 设计 模型 。UML 支持 13 种 不 同 的 模型 ， 但 如 第 5 章 中 所 述 ， 很 少 会 用 到 
全 部 的 类 型 。 减 少 模型 使 用 数量 将 降低 设计 的 成 本 和 完成 设计 过 程 所 需要 的 时 间 。 

用 UML 进行 设计 通常 需要 如 下 两 类 设计 模型 

1. 结构 模型 ， 通 过 系统 对 象 类 及 其 之 间 的 关系 来 描述 系统 的 静态 结构 。 在 这 一 阶段 需要 记 
录 的 重要 关系 有 泛 化 〈 继 承 ) 关系 、 使 用 /被 使 用 关系 和 组 成 关系 。 

2. 动态 模型 ， 描 述 系 统 的 动态 结构 和 系统 对 象 之 间 的 交互 。 需 要 记录 的 交互 包括 由 对 象 发 
出 的 服务 请 求 序列 以 及 由 这 些 对 象 交 互 触发 的 状态 变化 。 

在 设计 过 程 的 早期 阶段 ， 有 3 个 模型 特别 有 助 于 为 用 例 和 体系 结构 模型 增加 细节 : 

l. 子 系统 模型 ， 给 出 对 象 的 逻辑 分 组 即 子 系统 ， 子 系统 之 间 存 在 着 有 机 联系 。 这 些 模型 用 
类 图 的 形式 来 表示 ， 每 个 子 系统 作为 一 个 包 ， 里 面 封装 了 一 些 对 象 。 子 系统 模型 是 静态 (结构 ) 
模型 。 

2. 时 序 模 型 说 明 对 象 交 互 的 序列 。 使 用 UML 时 序 图 或 协作 图 来 表示 。 时 序 模 型 是 动态 
模型 。 

3. 状态 机 模型 说 明 单 个 对 象 如 何 响应 事件 来 改变 它们 的 状态 。 它 们 使 用 UML 的 状态 图 来 表 
示 。 状 态 机 模型 是 动态 模型 。 

子 系统 模型 是 一 个 有 用 的 静态 模型 ， 它 说 明 如 何 将 设计 组 织 成 逻辑 上 相关 的 对 象 组 。 图 7-4 
中 用 这 种 模型 来 说 明 在 气象 制图 系统 中 的 子 系统 。 和 子 系统 模型 一 样 ， 我 们 也 可 以 设计 一 些 详 
细 的 对 象 模型 ， 描 述 系统 中 的 对 象 及 其 关系 〈 继 承 、 泛 化 、 聚 合 等 ) 。 但 这 样 会 有 过 量 建 模 的 趋 
势 ， 设 计 过 程 不 能 做 太 详 细 的 关于 实现 的 决定 ， 这 些 问 题 应 该 留 给 系统 程序 员 。 

时 序 模型 是 动态 模型 ， 描 述 每 种 交互 模式 下 发 生 的 对 象 交 互 序列 。 在 记录 一 个 设计 的 时 候 ， 
我 们 应 该 为 每 一 个 重要 的 交互 制作 一 个 时 序 模型 。 如 果 已 经 有 了 用 例 模 型 了 ， 那 么 我 们 就 应 该 
为 所 找 出 的 每 一 个 用 例 制作 一 个 时 序 模型 。 

图 7-7 是 一 个 时 序 模型 的 例子 ， 描 述 了 UML 的 时 序 图 。 这 张 图 表示 一 个 外 部 系统 向 气象 站 
请 求 汇总 数据 时 发 生 的 交互 序列 ， 要 从 上 到 下 阅读 时 序 图 。 


气象 信息 系统 


i 
| 
| | 
| 


request (report) 











eee ee get (summary) 





summarize ( ) 





图 7-7 描述 数据 采集 的 时 序 图 
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1. SatComms 对 象 接收 从 气象 信息 系统 发 来 的 天 气 报 告 请 求 ， 并 发 出 收 到 回复 。 已 发 消息 中 
的 实 线 第 头 表 明 外 部 系统 并 不 等 待 回 复 ， 继 续 进 行 其 他 处 理 。 

2. SatComms 通过 卫星 链接 向 WeatherStation 发 送 消息 ， 创 建 一 个 采集 气象 数据 的 汇总 。 实 线 
箭头 同样 表明 SatComms 不 等 待 回复 。 

3. WeatherStation 向 CommsLink 对 象 发 送 包 含 数据 汇总 的 消息 。 这 里 的 虚线 箭头 表明 Weath- 
erStation 对 象 类 的 实例 会 等 待 回 复 。 

4. Commslink 调用 WeatherData 对 象 中 的 summarize 方法 并 等 待 回 复 。 

5. 计算 出 气象 数据 汇总 并 通过 Commslink 对 象 返回 给 WeatherStation, 

6. WeatherStation 调用 SatComms 对 象 ， 通 过 卫星 通信 系统 将 汇总 数据 传输 给 气象 信息 系统 。 

SatComms 和 WeatherStation 对 象 会 被 实现 为 并 发 进程 ， 二 者 的 执行 过 程 可 以 暂停 和 恢复 。Sat- 
Comms 对 象 的 实例 监听 来 自 外 部 系统 的 消息 ， 对 这 些 消息 进行 解码 ， 并 初始 化 气象 站 系统 的 操作 。 

时 序 图 用 于 建 模 一 组 对 象 的 相关 行为 ， 但 你 也 会 想 满足 每 个 对 象 或 子 系统 是 如 何 对 消息 和 
事件 做 出 响应 的 。 我 们 可 以 使 用 状态 机 模型 刻画 。 状 态 机 描述 对 象 实例 是 如 何 依据 新 接收 的 消 
息 改变 自身 状态 的 。UML 包含 状态 图 ， 最 初 是 由 Harel (1987) 创建 来 描述 状态 机 模型 的 。 

图 7-8 是 气象 站 系统 的 状态 图 ， 它 描述 了 气象 站 对 象 是 如 何 对 请 求 的 各 种 服务 进行 响应 的 。 


你 可 以 如 下 所 示 去 读 此 图 : 


remoteControl ( ) 






reconfigure ( ) 
powerSave ( ) 


7-8 气象 站 系统 状态 图 


1. 如 果 对 象 状态 是 Shutdown， 则 它 可 以 响应 restart( ) 、 reconfigure( ) 或 powerSave( ) 消息 。 带 
有 黑 点 、 未 标记 的 箭头 指示 Shutdown 状态 是 初始 状态 。restart( ) 消息 会 引发 恢复 正常 的 操作 。 
powerSave( ) 和 reconfigure( ) 消息 都 会 使 系统 转移 到 重新 配置 自身 的 状态 。 状 态 图 表明 只 有 在 系统 
已 经 关机 的 情况 下 才 人 允许 重 配置 。 

2. 在 Running 状态 中 ， 系 统 期 待 进 一 步 的 消息 。 如 果 接 收 到 shutdown( ) 消息 ， 则 对 象 返回 到 
Shutdown 状态 。 

3. 如 果 接 收 到 一 个 reportweather( ) 消息 ， 系 统 就 转移 到 Summarizing 状态 。 当 汇总 数据 完毕 
时 ， 就 转移 到 Transmitting 状态 ， 信 息 传输 到 远程 系统 ， 然 后 回 到 Running 状态 。 

4. 如 果 接 收 到 一 个 reportStatus( ) 消息 ， 系 统 转移 到 Testing 状态 ， 并 在 回 到 Running 状态 前 
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转移 到 Transmitting 状态 。 

5. 如 果 收 到 来 自 时 钟 的 一 个 信号 ， 系 统 就 转移 到 Collecting 状态 ， 开 始 采 集 来 自 仪器 的 数 
据 。 每 个 仪器 被 指示 依次 通过 相关 的 传感器 采集 它们 的 数据 。 

6. 如 果 接 收 到 remoteControl( ) 消息 ， 系 统 转 移 到 Controlled 状态 ， 此 时 系统 会 对 远程 控制 室 
的 另 一 组 消息 进行 响应 ， 这 一 部 分 没有 在 图 中 描述 。 

状态 图 是 一 种 很 有 用 的 系统 或 对 象 操作 的 高 层 模型 。 并 不 是 所 有 的 系统 对 象 都 需要 状态 图 。 
很 多 系统 对 象 相 对 简单 ， 使 用 状态 图 反而 给 设计 增加 了 不 必要 的 细节 。 


7.1.5 接口 描述 


对 设计 中 不 同 组 件 之 间 的 接口 的 描述 是 设计 过 程 的 一 个 重要 部 分 。 我 们 需要 详细 给 出 接口 
描述 ， 以 便 对 象 和 子 系统 能 并 行 地 设计 。 一 旦 接口 已 经 定义 清楚 ， 其 他 对 象 的 开发 人 员 就 可 以 假 
设 那 个 接口 已 经 实现 了 。 

接口 设计 是 关于 定义 一 个 或 一 组 对 象 的 详细 接口 信息 。 也 就 是 定义 对 象 或 对 象 组 所 提供 的 
服务 的 标记 和 语义 。 接 口 可 以 通过 UML 中 与 类 图 相似 的 方法 定义 ， 只 是 没有 了 属性 的 部 分 ， 同 
时 在 类 名 一 栏 注 明 << interface >> 。 接 口 的 语义 可 以 用 对 象 约束 语言 (OCL) 定义 ， 这 将 在 第 17 
章 中 解释 ， 同 时 给 出 另 一 种 用 UML 描述 接口 的 方法 。 

接口 设计 中 不 能 含有 数据 表示 的 细节 ， 因 为 接口 描述 中 没有 属性 的 定义 ， 但 需要 包含 能 够 
访问 和 更 新 这 些 数据 的 操作 。 由 于 数据 表示 是 隐藏 的 ， 因 此 它 可 以 方便 地 进行 修改 而 不 影响 到 
使 用 它 的 对 象 。 这 样 的 设计 更 容易 维护 。 例 如 ， 一 个 表示 栈 的 数组 可 以 被 更 改 为 列表 而 不 影响 到 
其 他 使 用 栈 的 对 象 。 相 反 ， 将 属性 暴露 在 静态 设计 模型 中 往往 是 有 意义 的 ， 因 为 这 通常 是 描述 对 
象 本 质 特性 最 简洁 的 方法 。 

对 象 和 接口 间 不 是 简单 的 一 对 一 的 关系 ， 相 同 的 对 象 会 有 若干 接口 ， 每 一 个 都 是 它 所 提供 
的 方法 上 的 一 个 视点 。 这 在 Java 中 是 直接 支持 的 ， 在 那里 接口 是 独立 于 对 象 声 明 的 ， 对 象 “ 实 
现 ”接口 。 同 样 ， 一 组 对 象 可 以 通过 同一 个 接口 访问 。 

如 图 7-9 所 示 为 气象 站 系统 中 定义 的 两 个 接口 。 左 边 的 接口 是 报告 接口 ， 定 义 用 于 生成 天 气 
和 状态 报告 的 操作 名 。 这 些 直接 映射 到 WeatherStation 对 象 中 的 操作 。 远 程控 制 接口 提供 4 个 操 
作 ， 每 一 个 分 别 映射 到 WeatherStation 对 象 中 的 一 个 方法 。 在 此 情形 中 ， 每 个 操作 都 编码 成 remo- 


teControl 方法 所 关联 的 一 个 命令 字符 串 。 
Shoe 


weatherReport (WS-Ident): Wreport startInstrument (instrument): iStatus 
statusReport (WS-Ident): Sreport 


stopInstrument (instrument): iStatus 
图 7-9 气象 站 系统 接口 










collectData (instrument): iStatus 
provideData (instrument): string 





7.2 设计 模式 


设计 模式 起 源 于 由 Christopher Alexander 提出 的 概念 (Alexander 等 ，1977) ， 他 提出 设计 的 
某 些 模式 是 相同 的 ， 而 且 很 合意 且 很 有 效 。 所 谓 “模式 ”是 对 问题 和 解决 方案 的 基本 内 容 的 描 
述 ， 所 以 该 解决 方案 可 以 在 不 同 的 设置 下 复 用 。 模 式 不 是 一 个 详细 描述 。 实 际 上 ， 可 以 把 它 当做 
累积 的 智慧 和 经 验 的 描述 。 它 是 对 一 般 问题 的 一 个 经 过 多 次 提炼 的 解决 方案 。 在 这 一 点 上 ， 模 式 
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可 以 用 在 分 析 期 间 ， 用 以 开发 系统 模型 ， 同 时 也 可 以 用 在 设计 过 程 当 中 。 

在 此 ， 我 们 引用 Hillside 研究 组 网 站 (http: //hillside. net) 上 的 一 段 话 ， 这 是 一 个 有 关 模 式 
信息 维护 的 网 站 ， 此 段 话 概述 了 模式 在 复 用 中 的 作用 : 

模式 和 模式 语言 是 对 最 好 的 经 验 和 好 的 设计 的 描述 ， 以 一 种 可 以 让 其 他 人 复 用 此 经 验 的 方 
式 来 捕获 经 验 。 

模式 对 面向 对 象 的 软件 设计 有 着 巨大 的 影响 。 除 了 作为 常见 问题 的 经 受 检验 的 解决 方案 外 ， 
模式 已 经 成 为 了 谈论 设计 必用 词汇 。 因 此 ， 可 以 用 对 所 用 模式 的 描述 来 解释 我 们 的 设计 。 尤 其 是 
对 “四 人 帮 ” (GoF) 在 他 们 的 关于 模式 的 书 (Gamma 等 , 1995) 中 最 初 提 到 的 那些 著名 的 设计 
模式 就 更 是 如 此 。 其 他 一 些 特别 重要 的 模式 的 描述 可 以 从 西门 子 公司 、 欧 洲 大 型 技术 公司 的 作 
者 编写 的 从 书 中 看 到 (Buschmann 等 , 1996; Buschmann 等 , 2007a; Buschmann 等 , 2007b; Kircher 
和 Jain, 2004; Schmidt 4, 2000) 。 

设计 模式 通常 和 面向 对 象 设计 相关 。 现 有 的 模式 通常 依赖 于 对 象 的 特性 ， 例 如 继承 或 多 态 ， 
以 提供 通用 性 。 但 是 ， 模式 中 封装 经 验 的 一 般 原则 对 于 任何 的 软件 设计 都 适用 。 因 此 ， 可 以 给 
COTS 系统 一 个 配置 模式 。 模 式 是 对 其 他 设计 师 的 知识 和 经 验 的 一 种 复 用 。 

“四 人 帮 ” 在 其 书 中 定义 了 设计 模式 的 4 种 主要 元 素 : 

1. 名 字 ， 是 模式 的 一 个 有 意义 的 指 代 。 

2. 问题 域 的 描述 ， 解 释 什 么 时 候 模式 可 以 应 用 。 

3. 对 部 分 设计 的 解决 方案 描述 ， 描 述 设计 方案 的 各 个 部 分 及 其 之 间 的 关系 和 职责 。 它 不 是 
一 个 具体 的 设计 描述 ， 而 是 一 个 设计 方案 的 模板 ， 可 以 用 不 同 的 方式 实例 化 。 它 通常 表达 为 图 形 
的 方式 ,示意 出 解决 方案 中 对 象 及 对 象 类 间 的 关系 。 

4. 结果 陈述 ， 说 明 应 用 该 模式 的 结果 和 副作用 。 用 来 帮助 设计 者 了 解 是 否 一 个 模式 在 特定 
环境 条 件 下 是 有 效 的 。 

Gamma 和 他 的 合 著者 将 问题 描述 分 解 成 动机 (描述 为 什么 模式 是 有 用 的 ) 和 适用 性 (描述 
模式 可 以 使 用 的 条 件 ) 。 在 解决 方案 的 描述 中 ,将 描述 模式 的 结构 、 参 与 者 、 合 作 和 实现 。 

为 说 明 模 式 描 述 ， 使 用 观察 者 模式 ， 如 图 7-10 所 示 ， 该 模式 是 从 Gamma 的 书 中 摘录 的 





模式 名 字 : 观察 者 . 

描述 : 将 对 象 状 态 的 显示 从 对 象 本 身分 离 出 来 ， 允 许 存 在 多 种 显示 。 当 对 象 状 态 变化 的 时 候 ， 自动 地 通知 所 
有 的 显示 而 且 让 它们 得 到 升级 以 反映 这 个 变化 。 

问题 描述 : 在 许多 情况 下 ， 提 供 对 对 象 状 态 信息 的 多 重 显示 ( 如 图 形 显 示 和 图 表 显示 ) 是 非常 必要 的 。 不 是 
所 有 的 显示 方式 在 对 信息 进行 定义 时 就 知道 的 。 所 有 的 替代 表示 法 都 应 该 支持 交互 ， 当 状 态 改变 时 ， 所 有 的 显示 
必须 更 新 。 

在 需要 对 对 象 状态 信息 有 多 重 显示 格式 的 所 有 情形 下 都 可 以 使 用 该 模式 。 也 可 以 用 于 对 象 无 需 维护 显示 信息 
的 情形 。 

解决 方案 描述 ; 包含 两 个 抽象 对 象 ， 即 主体 和 观察 者 ， 还 有 两 个 具体 对 象 ， 即 ConcreteSubject 和 ConcreteOb- 
ject， 它 们 继承 相关 的 抽象 对 象 的 属性 。 抽象 对 象 包含 可 以 应 用 到 所 有 情形 的 通用 操作 。 要 显示 的 状态 由 Concrete- 
Subject 来 维护 ， 它 继承 来 自 Subject 对 象 的 操作 ， 人 允许 它 添加 和 删除 Observer WR 〈 每 个 观察 者 对 应 一 个 显示 ) ， 
并 在 状态 发 生 改 变 时 发 出 通知 。 

对 象 ConcreteObserver 维护 ConcreteSubject 的 状态 的 一 个 拷贝 , 并 实现 观察 者 的 Update( ) 接口 ， 该 接口 允许 这 
些 拷贝 保持 同步 。ConcreteObserver 对 象 自动 地 显示 它 的 状态 ， 并 在 状态 更 新 的 任何 时 刻 反映 变化 。 

这 个 模式 的 UML 模型 如 图 7-12 所 示 。 

结果 : 主体 只 知道 抽象 Observer， 并 不 知道 具体 类 的 细节 。 因此 在 这 些 对 象 之 间 有 最 小 的 耦合 。 因 为 知识 的 缺 
乏 ， 对 提高 显示 性 能 的 优化 是 不 现实 的 。 对 主体 的 变更 可 能 引 发 对 要 生成 的 观察 者 的 一 系列 关联 的 变更 ， 有 些 是 
没有 必要 的 。 








图 7-10 观察 者 模式 的 描述 
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(Gamma 等 , 1995)。 这 里 使 用 4 个 必要 的 描述 元 素 , 并 附 上 有 关 模 式 能 做 什么 的 简短 说 明 。 该 模 
式 可 以 使 用 在 需要 有 不 同 的 对 象 状态 表现 的 情形 下 。 这 个 模式 将 必须 显示 的 对 象 和 不 同 的 显示 
方式 相 分 离 。 如 图 7-11 所 示 ， 该 图 示意 了 相同 数据 集合 的 两 个 图 形 表示 。 





7-11 多 重 显示 


图 形 表示 法 通常 用 来 说 明 模 式 中 所 用 的 对 象 类 及 其 之 间 的 关系 。 图 形 表示 是 对 模式 描述 的 
补充 并 增加 了 解决 方案 描述 的 细节 。 图 7-12 是 观察 者 模式 的 UML 形式 的 描述 。 


LN 


ConcreteObserver 


Update()— ---- 


observerState 








Attach (Observer) 






Wes ol __| for All o in observers D 
o -> Update ( ) 


ConcreteSubject 
IN 
— 


subjectState 











_ observerState = UN 
subject  GetState ( ) 






图 7-12 观察 者 模式 的 UML 模型 


要 在 自己 的 设计 中 使 用 模式 ， 我 们 要 相信 我 们 所 面临 的 任何 设计 问题 都 可 以 用 某 种 相关 模 
式 来 解决 。“ 四 人 帮 ” 的 模式 书 中 所 列 出 的 关于 此 类 问题 的 例子 包括 : 

l. 告知 一 些 对 象 某 个 其 他 对 和 象 的 状态 已 经 发 生 改 变 (观察 者 模式 )。 

2. 将 接口 整理 到 一 些 相 关 对 象 中 ， 这 些 对 象 通 常 是 增 量 式 开发 出 来 的 〔 外 观 模式 ) 。 

3. 提供 一 个 访问 集合 元 素 的 标准 方法 ， 无 论 该 集合 是 如 何 实现 的 (重复 器 模式 ) 。 

4. 允许 在 运行 时 对 已 有 类 进行 功能 扩展 (装饰 器 模式 ) 。 

模式 支持 高 层 的 概念 复 用 。 尝 试 复 用 可 执行 的 组 件 时 ， 我 们 会 不 可 避免 地 受到 该 组 件 的 实 
现 人 员 做 出 的 详细 的 设计 决定 的 限制 。 这 些 限 制 包含 很 多 内 容 ， 从 用 于 实现 组 件 的 算法 到 组 件 
接口 中 的 对 象 和 类 型 。 当 这 些 设计 决定 与 我 们 的 特殊 需求 相 冲突 时 ， 就 不 能 复 用 组 件 ， 或 者 导致 
系统 低 效 。 使 用 一 个 模式 时 ， 我 们 可 以 复 用 该 模式 的 思想 ， 但 需要 根据 我 们 所 开发 的 系统 来 调整 
实现 方式 。 

开始 设计 一 个 系统 时 ， 很 难 确 定 是 否 需要 一 个 特定 的 模式 。 因 此 ， 在 设计 过 程 中 使 用 模式 通 

常 包 括 : 进行 设计 ， 体 验 问题 ， 然 后 找到 一 个 可 用 的 模式 。 我 们 当然 有 可 能 在 原始 模式 书 中 所 记 
载 的 23 种 通用 模式 中 找到 答案 ， 但 有 时 候 我 们 遇 到 的 问题 是 一 个 不 同 的 问题 ， 那 么 你 会 发 现 ， 
在 已 提出 的 数 百 个 模式 中 寻找 一 个 合适 的 解决 方案 不 是 件 容易 的 事 。 

模式 是 一 个 绝妙 的 想法 ,但 需要 知道 每 个 模式 适用 的 情况 ， 因 此 要 在 软件 设计 中 不 断 积累 
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经 验 才能 学 会 有 效 地 运用 模式 。 缺 乏 经 验 的 程序 员 ， 即 便 是 阅读 过 介绍 模式 的 书籍 ， 也 会 苦于 确 
定 是 应 该 复 用 一 个 模式 ， 还 是 应 该 开发 一 个 专门 的 解决 方案 。 


7.3 实现 问题 

软件 工程 包括 从 系统 的 初始 需求 到 已 部 署 系统 的 维护 和 管理 的 所 有 软件 开发 活动 。 其 中 至 
关 重 要 的 阶段 自然 是 软件 实现 ， 在 此 阶段 实现 软件 的 可 执行 版 本 。 实 现 包括 用 高 级 或 底层 编程 
语言 开发 程序 ， 或 者 调整 现成 系统 以 满足 一 个 机 构 的 特殊 需求 。 

假定 本 书 的 大 部 分 读者 能 理解 编程 的 原则 并 有 一 些 编程 经 验 。 由 于 本 章 意 在 提供 一 个 语言 
无 关 的 方法 ,没有 侧重 于 良好 的 编程 习惯 问题 ， 因 为 这 需要 用 特定 语言 举例 说 明 。 取 而 代 之 的 是 
介绍 实现 中 一 些 编程 教科 书 里 通常 没有 介绍 过 的 、 而 在 软件 工程 中 又 尤为 重要 的 方面 。 主 要 
包括 : 

1. 复 用 多 数 现代 软件 都 是 对 现 有 组 件 或 系统 的 复 用 。 开 发 一 个 软件 时 ， 应 该 尽 可 能 地 多 
用 现 有 代码 。 - 

2. 配置 管理 ”开发 过 程 中 ， 每 个 生成 的 软件 组 件 都 会 有 很 多 不 同 版 本 ， 如 果 没 有 很 好 地 在 
配置 管理 系统 中 追踪 这 些 版 本 ， 有 可 能 在 系统 中 使 用 错误 版 本 的 组 件 。 

3. 宿主 机 - 目标 机 开发 ”软件 产品 通常 不 会 在 与 软件 开发 环境 相同 的 计算 机 上 运行 。 更 多 
的 是 开发 时 使 用 一 台 计 算 机 (宿主 机 ) ， 运 行 时 使 用 另 一 台 计 算 机 (目标 机 ) 。 宿 主机 和 目标 机 
的 系统 也 有 可 能 是 一 样 的 类 型 ， 但 是 更 经 常 是 完全 不 同 的 环境 。 


7.3.1 复 用 


从 20 世纪 60 年 代 到 90 年 代 ， 大 部 分 新 软件 都 是 从 头 开始 开发 的 ， 用 高 级 编程 语言 写 全 部 
的 代码 。 唯 一 有 意义 的 复 用 或 软件 是 对 函数 和 编程 语言 库 中 对 象 的 复 用 。 但 是 ， 预 算 和 进度 的 压 
力 使 得 这 种 方法 越 来 越 不 实用 ， 特 别 是 商业 的 和 基于 互联 网 的 系统 。 因 此 ， 出 现 了 一 种 基于 复 用 
现 有 软件 的 开发 方式 ， 并 逐步 用 于 商业 系统 、 科 学 软件 ， 以 及 圣人 式 系统 工程 。 

软件 复 用 可 以 运用 在 不 同 层 次 上 : 

L 抽象 层 ” 这 一 层 中 并 不 是 直接 复 用 软件 ， 而 是 运用 软件 设计 中 的 成 功 抽象 。 抽 象 知识 复 
用 的 代表 方式 是 设计 模式 和 体系 结构 模式 〈 见 第 6 章 ) 。 

2. 对 象 层 “在 这 一 层 可 直接 复 用 库 中 的 对 象 ， 代 替 自 己 编写 代码 。 实 现 这 类 复 用 时 ， 必 须 
找到 一 个 合适 的 库 ， 分 析 对 象 和 方法 是 否 提供 所 需 的 功能 。 例 如 ， 如 果 需 要 在 Java 程序 中 处 理 
邮件 消息 ， 可 以 使 用 JavaMail 库 中 的 对 象 和 方法 。 

3. BAR 组件 是 一 组 通过 相互 合作 实现 相关 功能 和 服务 的 对 象 及 对 象 类 集合 ， 通 常 需要 
添加 自己 的 代码 对 组 件 进行 调整 和 扩展 。 利 用 框架 搭建 用 户 接口 就 是 组 件 层 复 用 的 一 种 ， 该 框 
架 包 含 一 组 通用 对 象 类 来 实现 事件 处 理 、 显 示 管 理 等 ， 只 需 增 加 显示 数据 的 连接 及 定义 显示 细 
节 的 代码 ， 如 显示 布局 和 颜色 等 。 

4. 系统 层 ”在 这 一 层 ， 我 们 复 用 整个 应 用 系统 。 通 常 涉及 这 些 系统 的 相关 配置 。 通 过 添加 
和 修改 代码 〈 如 果 复 用 的 是 软件 的 生产 线 ) 或 者 通过 使 用 系统 自身 的 配置 界面 。 目 前 多 数 商业 
系统 都 是 通过 调整 和 复 用 COTS (商业 现货 系统 ) 系统 来 完成 的 。 有 时 这 种 方法 涉及 对 数 个 系统 
的 复 用 和 集成 来 创建 一 个 新 系统 。 

”通过 复 用 现 有 软件 ， 可 以 更 快 地 开发 新 系统 ， 同 时 降低 开发 风险 和 花费 。 由 于 复 用 的 软件 已 
经 在 其 他 的 应 用 程序 中 进行 过 测试 ， 因 此 比 新 软件 的 可 靠 性 更 高 。 但 是 ， 复 用 也 有 相应 的 花费 ， 

1. 寻找 可 复 用 的 软件 并 评估 其 是 否 符合 需求 的 时 间 花 费 。 我 们 必须 通过 测试 软件 来 确定 该 

软件 可 以 在 现 有 环境 下 工作 ， 特 别 是 当 此 环境 异 于 该 软件 的 开发 环境 时 。 
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2. 找到 合适 的 可 复 用 软件 后 ， 还 要 有 购买 此 软件 的 花费 。 大 型 现成 系统 的 花费 相应 的 也 会 
EUR 

3. 调整 和 配置 可 复 用 软件 组 件 或 系统 使 其 满足 待 开发 系统 需求 的 花费 。 

4. 集成 各 个 可 复 用 软件 (如 果 使 用 的 是 不 同 来 源 的 软件 ) 及 新 代码 的 花费 。 由 于 提供 商会 
对 各 自 软 件 的 复 用 方式 做 出 相 冲 突 的 假设 ， 因 此 集成 不 同 提供 商 提 供 的 可 复 用 软件 会 是 很 困难 
的 且 花 费 也 会 很 高 。 

如 何 复 用 现 有 知识 和 软件 是 开始 软件 开发 工程 时 需要 考虑 的 首要 问题 。 在 设计 软件 细节 之 
前 就 要 考虑 复 用 的 可 能 性 ， 这 样 就 可 以 根据 复 用 软件 的 优势 调整 设计 。 第 2 章 讨论 过 ， 在 面向 复 
用 的 开发 过 程 中 ， 需 要 搜索 可 复 用 的 元 素 并 修改 自身 需求 和 设计 将 它们 各 自 的 优势 发 挥 到 最 佳 
程度 。 

对 于 多 数 应 用 系统 来 说 ， 软 件 工 程 意味 着 软件 复 用 。 因 此 ， 在 本 书 的 软件 技术 部 分 使 用 数 章 
的 篇 幅 (58 16, 17 和 19 章 ) 对 此 进行 了 论述 。 


7. 3.2 配置 管理 


在 软件 开发 中 ， 随 时 都 发 生 着 变更 ， 因 此 变更 管理 是 必需 的 。 当 一 个 团队 开发 软件 时 ， 需 要 
确保 团队 成 员 彼 此 之 间 不 妨碍 各 自 的 工作 。 也 就 是 说 ， 如 果 将 同一 个 组 件 分 配给 两 个 人 时 ， 那 么 
他 们 协调 他 们 做 出 的 变更 。 否 则 ， 一 个 程序 员 做 出 修改 后 会 覆盖 了 另 一 个 人 的 工作 。 此 外 还 需要 
保证 每 个 人 都 能 访问 软件 组 件 的 最 新 版 本 ， 否 则 开发 人 员 会 重 做 已 经 完成 的 工作 。 当 新 版 本 出 
现 问题 的 时 候 ， 要 可 以 回 退 到 系统 组 件 的 正常 版 本 。 

配置 管理 指 的 是 管理 变更 中 软件 系统 的 一 般 过 程 。 配 置 管理 的 目标 是 支持 系统 集成 过 程 ， 
使 得 每 个 开发 人 员 可 以 在 管理 中 访问 工程 代码 和 文档 ， 查 找 变更 ， 编 译 连接 组 件 并 生成 系统 。 因 
此 ， 配 置 管理 包含 如 下 3 个 基本 活动 : 

l. 版 本 管理 ， 对 软件 组 件 不 同 版 本 的 追踪 提供 支持 。 版 本 管理 系统 包括 协调 多 个 程序 员 开 
发 的 机 制 ， 可 以 防止 一 个 程序 员 覆 盖 其 他 人 提交 到 系统 中 的 代码 。 

2. 系统 集成 ， 即 提供 支持 帮助 开发 人 员 定义 在 创建 每 个 系统 版 本 时 所 用 的 组 件 版 本 。 这 些 
描述 可 以 用 于 编译 连接 需要 的 组 件 以 自动 构建 一 个 系统 。 

3. 问题 追踪 ， 即 提供 支持 允许 用 户 报告 缺陷 及 其 他 问题 ， 并 允许 开发 人 员 查看 谁 在 修复 这 
些 问题 ， 以 及 何 时 完成 的 修复 。 

软件 配置 管理 工具 支持 上 述 各 种 活动 。 这 些 工 具 要 设计 成 能 在 一 个 综合 的 变更 管理 系统 
(例如 ClearCase) 中 协同 工作 ，( Bellagio 和 Milligan, 2005) 。 在 集成 的 配置 管理 系统 中 ， 版 本 控 
制 、 系 统 集 成 和 问题 追踪 工具 是 设计 在 一 起 的 。 三 者 共有 一 套用 户 界面 风格 ， 通 过 共享 代码 容器 
集成 于 一 体 。 

除 此 之 外 ， 独 立 工具 ， 即 安装 在 一 个 集成 开发 环境 中 的 ， 也 会 使 用 到 。 版 本 管理 可 以 使 用 版 
本 管理 系统 ， 例 如 Subversion (Pilato 等 , 2008) ， 得 到 支持 。Subversion 能 够 支持 多 地 点 、 多 团队 
开发 。 系 统 集成 支持 可 以 内 建 到 编程 语言 中 ， 或 者 依赖 于 一 个 独立 工具 集 ， 如 GNU 构建 系统 。 
这 是 一 个 Unix 下 最 知名 的 集成 工具 。 缺 陷 追 踪 或 问题 追踪 系统 ， 比 如 Bugzila， 广 泛 应 用 于 缺陷 
和 其 他 问题 的 报告 以 及 是 否 得 到 修正 的 追踪 。 

由 于 变更 和 配置 管理 在 专业 化 软件 工程 中 的 重要 地 位 ， 因 此 第 25 章 将 进行 更 详细 的 讨论 。 


7.3.3 宿主 机 - 目标 机 开发 


多 数 软件 开发 是 基于 宿主 机 - 目标 机 模型 的 。 软 件 在 一 台 计 算 机 (宿主 机 ) 上 开发 ， 但 在 
男 一 台 机 器 (目标 机 ) 中 运行 。 一 般 的 ， 我们 称 之 为 开发 平台 和 运行 平台 。 平 台 不 只 是 指 硬件 
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设备 ， 同 时 还 包括 安装 的 操作 系统 及 其 他 支持 软件 ， 如 数据 库 管 理 系 统 ， 或 者 开发 平台 中 的 集成 
开发 环境 。 

有 了 时， 开发 和 运行 平台 是 相同 的 ， 这 样 就 可 以 在 同一 台 计算 机 上 开发 和 测试 软件 。 但 一 般 情 
况 下 二 者 却 是 不 同 的 ， 因 此 需要 将 开发 好 的 软件 迁移 到 运行 平台 进行 测试 或 者 在 开发 环境 下 安 
装 模 拟 器 。 

模拟 器 通常 在 开发 嵌 人 式 系统 时 使 用 ， 以 模拟 一 个 硬件 设备 ， 如 传感器 ， 以 及 系统 所 要 部 署 
的 环境 中 的 事件 。 模 拟 程序 可 以 加 快 嵌入 式 系统 的 开发 过 程 ， 因 为 每 个 开发 人 员 可 以 自己 搭建 
运行 环境 ,不 必 再 下 载 软件 到 目标 机 硬件 中 。 但 是 ， 开 发 模拟 器 的 花费 较 高 ， 因 此 只 有 对 当前 最 
常见 的 几 种 硬件 架构 的 模拟 。 


Q UML 部 署 图 


UML 部 署 图 说 明 软 件 组 件 是 如 何在 处 理 器 上 进行 实际 部 署 的 。 也 就 是 说 ， 部 署 图 描述 的 
是 系统 中 的 硬件 、 软 件 ， 以 及 连接 不 同 组 件 的 中 间 件 。 本 质 上 讲 ， 我 们 可 以 将 组 件 图 看 做 定 
义 和 记 录 目 标 环境 的 一 种 方法 。 
http: //www. SoftwareEngineering-9. com/Web/Deployment/ 







如 果 目 标 系统 安装 了 中 间 件 或 者 其 他 要 用 的 软件 ， 那 就 需要 用 那些 软件 来 测试 系统 。 而 鉴 
于 许可 证 限制 ， 在 开发 机 器 上 安装 这 些 软件 是 不 实际 的 ， 即 便 是 开发 平台 与 目标 平台 相同 。 这 种 
情况 下 ， 就 需要 将 开发 代码 传输 到 运行 环境 下 进行 测试 。 

软件 开发 平台 应 该 提供 一 系列 工具 来 支持 软件 工程 过 程 ， 包 括 : 

l. 集成 编译 器 和 名 法 导向 的 编辑 系统 ， 能 够 创建 、 编 辑 和 编译 代码 。 

2. 编程 语言 调试 系统 。 

3. 图 形 编辑 工具 ， 例 如 编辑 UML 模型 的 工具 。 

4. 测试 工具 ， 如 JUnit (Massol, 2003) ， 可 以 在 新 版 本 的 程序 上 自动 运行 一 组 测试 。 

5. 项 目 支持 工具 ， 能 够 帮助 我 们 为 不 同 的 开发 项 目 组 织 代码 。 

除了 这 些 标准 化 工具 外 ， 开 发 系统 还 可 能 包含 一 些 特殊 的 工具 ， 如 静态 分 析 器 〈 见 第 15 
章 )。 通 常 ， 团 队 开发 环境 还 包括 一 个 共有 的 服务 器 ， 运 行 着 变更 和 配置 管理 系统 ， 或 支持 需求 
管理 的 系统 。 

软件 开发 工具 集成 在 一 起 形成 了 集成 开发 环境 (IDE), IDE 是 一 系列 支持 不 同方 面 软件 开 
发 的 软件 工具 ， 包 括 一 些 常用 的 框架 和 用 户 界面 。 通 常 ，IDE 是 针对 某 个 编程 语言 《如 Java) 而 
开发 出 来 的 。 编 程 语言 IDE 是 专门 开发 出 来 的 ,或 者 是 对 通用 IDE 的 具体 化 ， 并 配 有 针对 编程 
语言 支持 的 工具 。 . 

通用 IDE 是 一 种 框架 ， 它 可 以 将 软件 工具 和 集成 机 制 整 合 在 一 起 。 这 些 软件 工具 为 正在 开 
发 中 的 软件 提供 数据 管理 功能 ， 而 集成 机 制 可 以 让 这 些 软件 工具 在 一 起 协同 工作 。 最 知名 的 通 
用 IDE 是 Eclipse 环境 (Carlson, 2005) 。 这 个 环境 是 基于 插件 体系 结构 的 ， 所 以 它 可 以 针对 不 同 
的 开发 语言 和 应 用 领域 进行 专门 处 理 〈Clayberg 和 Rubel, 2006) 。 因 此 ， 可 以 在 装 Eclipse 之 后 根 
据 自己 的 特定 需求 通过 添加 插件 去 裁剪 它 。 例 如 ， 我 们 可 以 添加 一 组 插件 支持 Java 的 网 络 系统 
开发 ， 或 者 用 C 语言 的 嵌 人 式 系统 工程 开发 。 

作为 开发 过 程 的 一 部 分 ， 我们 需要 决定 如 何 将 开发 完毕 的 软件 部 署 到 目标 平台 上 。 这 一 点 
对 于 嵌入 式 系统 来 说 很 简单 ， 因 为 目标 机 通常 只 是 一 台 计 算 机 。 但 是 ， 对 于 分 布 式 系统 来 说 ， 我 
们 需要 决定 组 件 部 署 到 何 种 特定 平台 上。 做 决定 时 需要 考虑 到 的 问题 有 : 

1. 组 件 的 软 硬 件 需求 如 果 一 个 组 件 是 为 特定 硬件 体系 结构 而 设计 的 ， 或 者 依赖 于 一 些 其 
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”他 软件 系统 ， 那 么 显然 需要 部 署 在 一 个 提供 所 需 软 硬件 支持 的 平台 上 。 


2. 系统 可 用 性 需求 ”高 可 用 性 系统 需要 组 件 部 署 在 多 个 平台 上 。 当 一 个 平台 出 现 故障 ， 还 
可 以 用 到 备用 的 组 件 。 

3. 组 件 通 信 ”如 果 组 件 间 有 高 层 通 信 ， 通 常 需要 将 它们 部 署 在 同一 个 平台 ,或 者 距离 比较 
近 的 平台 上 。 这 样 可 以 减少 通信 的 延迟 ， 也 就 是 从 一 个 组 件 发 出 消息 到 对 方 接收 到 消息 的 时 间 。 

我 们 可 以 通过 UML 部 署 图 来 记录 软 硬 件 部 署 的 决策 ， 以 描述 软件 组 件 如 何 分 布 于 不 同 硬件 
平台 中 。 

如 果 需 要 部 署 一 个 筷 人 式 系统 ， 就 需要 考虑 目标 机 的 特性 ， 例 如 大 小 、 电 源 功 率 、 对 传感器 
事件 的 实时 响应 需求 、 执 行 器 的 物理 特性 ， 以 及 它 的 实时 操作 系统 。 我 们 会 在 第 20 Ehhe 
人 式 系 统 工程 。 


7.4 开源 开发 


开源 开发 是 软件 开发 的 一 种 方法 ， 它 是 将 软件 系统 的 源 代码 公布 出 来 ， 并 允许 志愿 开发 人 
员 加 人 到 开发 过 程 中 来 (Raymond，2001)。 这 种 方法 源 于 自由 软件 基金 会 (https: // 
www. fsf. org) ， 该 组 织 主张 源码 不 被 任何 人 所 有 ， 而 对 用 户 开放 ， 可 以 随意 对 其 进行 检查 和 修 
改 。 前 提 假 设 是 代码 是 由 小 部 分 核心 成 员 控制 和 开发 的 ， 面 不 是 代码 的 用 户 。 

开源 软件 利用 互联 网 发 展 了 大 量 志愿 开发 人 员 ， 由 此 扩充 了 这 个 理念 。 多 数 人 同时 也 是 代 
码 的 用 户 。 至 少 在 原则 上 ， 任何 开源 项 目的 贡献 者 都 可 以 报告 和 修复 缺陷 、 提 议 新 功能 和 特性 。 
但 是 ， 实 际 上 ， 成 功 的 开源 系统 仍然 依赖 于 控制 这 些 软件 变更 的 核心 开发 小 组 。 

最 著名 的 开源 产品 自然 是 Linux 操作 系统 ， 该 系统 被 广泛 用 作 服 务 器 系统 ， 并 逐渐 成 为 桌面 
环境 的 操作 系统 。 其 他 重要 的 开源 产品 还 包括 Java, Apache 服务 器 和 mySQL 数据 库 管 理 系统 。 
计算 机 产业 中 主要 公司 ， 如 IBM 和 Sun， 都 支持 开源 运动 ， 并 将 自己 的 软件 基于 开源 产品 。 当 然 
还 有 成 千 上 万 的 其 他 不 知名 的 开源 系统 和 组 件 。 

获得 开源 软件 一 般 都 是 很 便宜 的 或 是 免费 的 ， 不 需 付 费 就 可 以 下 载 到 开源 软件 。 但 是 ， 如 果 
我 们 想 要 文档 和 支持 ， 那 么 就 需要 为 此 付费 ， 而 这 样 的 花费 也 不 高 。 使 用 开源 产品 的 另 一 个 关键 
好 处 是 成 熟 的 开源 系统 可 靠 性 都 很 高 。 原 因 是 这 些 系 统 都 有 庞大 的 用 户 群 ， 而 且 比 起 向 开发 者 
报告 缺陷 然后 等 待 下 一 发 行 版 本 的 系统 ,他 们 更 乐意 自己 为 系统 修复 缺陷 。 因 此 缺陷 的 发 现 和 修 
复 都 比 过 去 要 迅速 很 多 。 

对 于 一 个 涉足 开源 开发 的 公司 来 说 ， 有 两 个 开源 问题 值得 考虑 ， 

l. 待 开发 的 产品 是 否 应 该 使 用 开源 组 件 ? 

2. 软件 开发 过 程 是 否 应 该 采用 开源 方法 ? 

这 两 个 问题 的 答案 取决 于 待 开发 软件 的 类 型 和 背景 ， 以 及 开发 团队 的 经 验 。 

如 果 是 在 开发 一 个 用 于 销售 的 软件 ， 则 上 市 时 间 和 降低 成 本 是 很 关键 的 。 如 果 正 在 开发 的 
领域 内 有 高 质量 的 开源 系统 可 用 ， 那 么 可 以 通过 使 用 这 些 系统 来 节约 时 间 和 成 本 。 但 是 ， 如 果 正 
在 开发 的 系统 有 一 系列 特殊 的 机 构 需 求 ， 那 么 开源 组 件 就 不 会 是 一 个 选择 。 此 时 你 可 能 需要 将 


.自己 的 软件 与 已 有 的 、 并 与 可 用 的 开源 系统 不 相 容 的 系统 集成 在 一 起 。 但 是 即使 是 这 样 ， 修 改 开 


源 系统 也 比重 新 开发 所 需 功 能 更 快 、 成 本 更 低 。 

越 来 越 多 的 公司 采用 开源 方法 进行 开发 。 他 们 的 业务 模型 不 是 依赖 于 软件 产品 的 销售 ， 而 
是 在 卖 对 该 产品 的 支持 。 他 们 相信 让 开源 社区 参与 进来 可 以 使 得 软件 开发 变 得 更 经 济 、 更 迅捷 ， 
且 可 以 为 软件 创造 一 个 用 户 团体 。 但 需要 重申 的 是 ， 这 只 是 用 于 通用 的 软件 产品 ， 而 非特 定 的 机 
构 的 应 用 。 

很 多 公司 认为 采用 开源 方式 会 向 竞争 对 手 泄露 商业 机 密 ， 因 此 不 情愿 采用 这 种 开发 模型 。 
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但 是 ， 如 果 我 们 在 一 个 小 公司 工作 ， 当 我 们 将 我 们 的 软件 开放 ， 客 户 便 可 以 放心 ， 因 为 即便 公司 
倒闭 ， 他 们 也 可 以 支持 该 软件 。 

公布 系统 源 代码 并 不 意味 着 更 多 的 社会 人 士 会 参与 到 开发 中 。 多 数 成 功 的 开源 产品 都 是 平 
台 软 件 ， 而 不 是 应 用 系统 。 很 少 有 开发 人 员 对 特定 的 应 用 软件 感 兴趣 ， 因 此 将 一 个 软件 系统 开源 
并 不 能 保证 有 很 多 人 参与 。 


开源 使 用 许可 


尽管 开源 开发 的 基本 原则 是 源 代码 应 该 自由 使 用 ,但 是 这 并 不 代表 任何 人 可 以 随意 地 对 代 
码 做 任何 事 。 从 法 律 上 讲 ， 代 码 的 开发 人 员 (公司 或 个 体 ) 仍然 持 有 该 代码 。 他 们 可 以 在 开源 
软件 许可 中 限制 人 们 如 何 合法 地 使 用 代码 。 有 些 开源 开发 人 员 认 为 如 果 开 源 组 件 用 于 开发 新 系 
统 ， 那 么 该 系统 也 应 该 开源 。 另 一 部 分 人 则 不 对 自己 的 代码 设置 这 个 约束 。 开 发 出 来 的 系统 可 以 
不 开源 并 进行 销售 。 

多 数 开源 许可 都 衍生 自 下 述 3 种 通用 模型 : 

1. GNU 通用 公共 许可 (GPL)。 也 被 称 做 “互惠 ”许可 ,也 就 是 指 如 果 我 们 用 GPL 许可 证 
的 开源 软件 ， 那 么 我 们 必须 也 将 自己 的 软件 开源 。 

2. GNU 宽松 的 通用 公共 许可 (LGPL). XÆ GPL 许可 的 变 体 ， 我 们 可 以 编写 链接 到 开源 代 
码 的 组 件 ， 而 无 需 公布 自己 的 组 件 源码 。 但 是 如 果 我 们 更 改 了 这 些许 可 下 的 组 件 ， 那 么 就 需要 
开源 。 

3. Berkley 标准 分 布 (BSD) 许可 。 这 是 一 个 非 互 惠 许可 ， 我 们 不 会 被 强制 要 求 公开 对 开源 
代码 的 任何 改动 。 我 们 可 以 在 用 于 商业 用 途 的 系统 中 使 用 这 些 代 码 。 如 果 我 们 使 用 的 是 开源 组 
件 ， 那 么 我 们 必须 知道 代码 的 原作 者 。 

如 果 使 用 开源 软件 作为 软件 产品 的 一 部 分 ， 那么 根据 开源 许可 条 款 就 会 被 迫 将 我 们 的 产品 
变 成 开源 ， 因 此 许可 问题 是 很 重要 的 。 如 果 我 们 打算 销售 我 们 的 软件 ， 那 么 我 们 不 希望 泄露 源 
码 ， 这 意味 着 我 们 应 该 避免 使 用 GPL 许可 的 开源 软件 。 

如 果 我 们 在 创建 一 个 运行 在 开源 平台 下 的 软件 ， 如 Linux， 那 么 版 权 许可 就 不 是 什么 问题 。 
然而 ， 一 旦 我 们 在 软件 中 包含 了 开源 组 件 ， 我 们 便 需 要 设立 进程 和 数据 库 来 跟踪 所 使 用 的 组 件 
及 其 许可 状态 。Bayersdorfer (2007) 建议 管理 带 有 开源 代码 项 目的 公司 应 该 做 到 以 下 几 点 ， 

1. 建立 一 个 维护 所 下 载 和 使 用 的 开源 组 件 信息 的 系统 。 我 们 需要 保存 每 个 组 件 的 许可 ， 这 
些 组 件 在 其 使 用 期 间 是 符合 其 许可 规定 的 。 版 权 许可 会 发 生变 化 ,因此 我 们 需要 记 住 我 们 所 接 
受 的 许可 的 状态 。 

2. 知道 不 同类 型 的 许可 并 在 使 用 组 件 之 前 了 解 组 件 是 如 何 发 放 许 可 的 。 我 们 可 以 决定 在 一 
个 系统 使 用 某 个 组 件 ， 在 另 一 而 系统 不 使 用 ， 因 为 这 些 系 统 的 用 途 是 不 同 的 。 

3. 知道 组 件 的 发 展 路 线 。 我 们 需要 对 开发 所 用 组 件 的 开源 项 目 有 所 了 解 ， 这 样 才能 知道 将 
来 该 组 件 会 怎样 发 展 。 

4. 培养 人 们 的 开源 概念 。 只 通过 规定 来 保证 许可 条 件 得 到 遵循 是 不 够 的 ， 还 需要 教育 开发 
人 员 开 源 和 开源 许可 的 相关 知识 。 

5. 设立 审计 系统 。 开 发 人 员 可 能 会 在 严格 的 期 限 下 违背 许可 证 的 规定 。 可 能 的 话 需要 一 个 
软件 对 此 进行 检测 和 阻止 。 

6， 加 入 开源 社区 。 如 果 我 们 依赖 于 开源 产品 ， 那 么 我 们 应 该 参与 到 社区 中 以 帮助 、 支 持 他 
们 的 开发 。 . 

软件 的 商业 模型 在 改变 ， 建 立 一 个 销售 专业 化 的 软件 系统 的 业务 逐渐 变 得 困难 起 来 。 很 多 
公司 更 倾向 于 将 他 们 的 软件 开源 ， 然 后 向 软件 的 用 户 销售 他 们 的 支持 和 咨询 业务 。 这 种 趋势 随 
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着 开源 软件 的 大 量 使 用 和 越 来 越 多 开源 软件 的 出 现 加 速 升 温 。 


要 点 . 
a 软件 设计 和 实现 是 相互 交织 的 活动 。 设 计 的 细节 层次 取决 于 待 开发 系统 的 类 型 以 及 是 否 使 
用 计划 驱动 或 敏捷 开发 方法 。 
m 面向 对 象 的 设计 过 程 包括 系统 体系 结构 的 设计 、 识 别 系统 中 的 对 象 、 运 用 不 同 的 对 象 模 型 
描述 设计 ， 以 及 文档 化 组 件 接口 。 
m 面向 对 象 的 设计 过 程 中 会 产生 不 同 的 模型 。 这 些 模型 包括 静态 模型 (类 模型 、 泛 化 模型 、 
关联 模型 ) 和 动态 模型 (时 序 模型 、 状 态 机 模型 ) 。 
m 要 对 组 件 的 接口 进行 精确 的 定义 ， 这 样 其 他 的 对 象 才 可 以 使 用 它们 。 可 以 使 用 UML 接口 
模板 来 定义 这 些 接口 。 
n 开发 软件 时 ， 我 们 总 是 要 考虑 复 用 现存 组 件 的 可 能 性 ， 无 论 是 对 组 件 、 服 务 还 是 对 整个 系 
统 的 复 用 。 
m 配置 管理 是 管理 系统 变更 的 过 程 。 当 一 个 团队 的 人 员 协 同 开发 软件 时 ， 这 个 过 程 是 十 分 必 
要 的 。 
a 多 数 软件 开发 过 程 属于 宿主 机 - 目标 机 开发 模式 。 要 用 宿主 机 上 的 IDE 开发 软件 ， 然 后 传 
输 到 目标 机 运行 。 
a 开源 开发 指 公 布 系统 中 的 源 代码 ， 这 意味 着 很 多 人 可 以 提出 更 改建 议 并 改善 软件 。 


进一步 阅读 材料 

(Design Patterns; Elements of Reusable Object-oriented Software) 这 是 第 一 本 软件 模式 手册 ， 
它 向 众多 读者 介绍 了 软件 模式 概念 (E. Gamma, R. Helm, R. Johnson and J. Vlissides, Addison- 
Wesley, 1995), 

(Applying UML and Patterns; An Introduction to Object-Oriented Analysis and Design and the Itera- 
tive Development, 3rd edition) ”Larman 清晰 地 阅 述 了 面向 对 象 设计 的 方法 ， 并 讨论 了 UML 的 使 
用 。 这 本 书 很 好 地 介绍 了 利用 模式 进行 设计 的 方法 (C. Larman, Pretice Hall, 2004) 。 

(Producing Open Source Software; How to Run a SuccessfulFree Software Projet) 这 本 书 是 对 
开源 软件 的 背景 、 许 可 问题 和 实际 运行 开源 开发 项 目的 一 本 详细 指南 (K. Fogel, O’ Reilly Media 
Inc. , 2008) 。 

关于 软件 复 用 的 进一步 阅读 资料 会 在 第 16 章 推荐 ， 配 置 管理 的 资料 在 第 25 章 中 介绍 。 


练习 


7.1 使 用 图 7-3 中 使 用 的 结构 化 方法 定义 气象 站 系统 的 Report 状态 的 用 例 和 Reconfigure 用 例 。 你 需要 对 此 
处 所 需 的 功能 给 出 合理 的 假设 。 
7.2 假设 MHC - PMS 要 用 面向 对 象 的 方法 开发 。 画 出 用 例 图 ， 至 少 包括 该 系统 的 6 个 用 例 。 
7.3 使 用 UML 的 图 形 化 符号 来 表示 对 象 类 ， 设 计 以 下 对 象 类 并 标明 它们 的 属性 和 操作 。 根 据 你 自己 的 经 
验 决定 应 该 与 以 下 对 象 关联 的 属性 和 操作 : 
m 电话 ; 
u 个 人 计算 机 用 的 打印 机 ; 
R 个 人 立体 声 系统 ; 
m 银行 账户 ; 
a 图 书馆 目录 。 
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7.4 以 图 7-6 中 识别 出 来 的 气象 站 系统 对 象 为 出 发 点 ,识别 该 系统 中 可 能 用 到 的 其 他 对 象 ， 为 识别 出 的 对 
象 设计 继承 机 制 。 

7.5 开发 气象 站 系统 设计 ， 要 求 给 出 在 数据 采集 子 系统 和 采集 数据 的 仪器 之 间 的 交互 过 程 ， 使 用 序列 图 来 
描述 这 个 交互 。 : 

7.6 识别 出 下 列 系统 中 可 能 有 的 对 象 ， 给 出 这 些 系 统 的 面向 对 象 设计 。 在 设计 过 程 中 可 以 给 出 合理 假设 。 
m 一 个 日 记 和 时 间 管 理 系统 ， 希 望 它 支 持 一 组 同事 的 会 议 时 间 安 排 。 当 一 个 会 议 包 括 多 人 时 ， 系 统 在 

这 些 人 员 的 日 记 中 找到 共同 空闲 时 间 并 将 会 议 安排 在 这 个 时 间 。 如 果 没有 共同 的 空闲 时 间 可 用 ， 系 
统 就 同 用 户 交互 来 安排 他 们 的 日 程 以 便 腾 出 时 间 参 加 这 次 会 议 。 - 
E 准备 设立 一 个 全 自动 加 油 ( 天然气 ) W, AMBRE RAR, RSE, ER 
验证 是 通过 与 信用 公司 计算 机 通信 完成 的 ， 同 时 给 出 油 量 上 限 ， 司机 可 以 按 需 加 油 。 当 油 加 完 ， 加 
油 软 管 自动 回 位 。 司 机 信用 卡 账户 要 被 减 掉 相应 数额 。 信 用 卡 在 账户 计算 完 后 退还 给 司机 ， 如 果 卡 
是 无 效 的 ， 系 统 拒绝 加 油 ， 退 还 此 卡 。 

7.7 假设 有 一 组 人 员 要 安排 一 个 会 议 ， 用 时 序 图 绘 出 上 面 的 日 记 管 理 系统 中 对 象 间 的 交互 。 

7.8 绘制 UML 的 状态 图 ， 描 述 在 小 组 日 记 系 统 或 加 油 站 系统 中 可 能 发 生 的 状态 变化 。 

7.9 举例 解释 为 什么 配置 管理 在 团队 开发 软件 产品 的 过 程 中 十 分 重要 。 

7.10 一 个 小 公司 开发 了 一 个 专用 产品 ， 为 每 个 客户 进行 专门 的 配置 。 新 客户 总 是 有 特殊 的 需求 需要 插入 
到 系统 中 ， 并 愿意 为 此 付费 。 这 个 公司 有 一 个 机 会 参加 一 个 新 合同 的 竞标 ， 如 果 成 功 ， 可 以 将 现 有 的 
客户 数目 至 少 翻 倍 。 新 客户 也 希望 参与 到 对 系统 的 配置 活动 中 。 解 释 为 什么 在 此 情况 下 将 公司 所 拥有 
的 软件 变 成 开源 是 个 好 主意 。 
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软件 测试 





目标 
本 章 的 目标 是 介绍 软件 测试 过 程 并 介绍 一 系列 测试 技术 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 
n 了 解 测试 各 个 阶段 ， 从 开发 过 程 中 的 测试 到 系统 客户 的 验收 测试 ; 
u 介绍 了 可 以 帮助 用 户 选 择 测 试 案例 的 技术 以 发 现 程序 的 缺陷 。 
m 了 解 测试 优先 的 开发 ， 即 在 写 代 码 之 前 设计 好 测试 案例 ， 然 后 自动 地 运行 这 些 用 例 。 
m 掌握 组 件 测试 、 系 统 测 试 和 发 布 测试 的 主要 差异 ， 以 及 了 解 用 户 测试 过 程 和 技术 。 


测试 的 目的 是 试图 说 明 一 个 程序 可 以 做 我 们 期 望 它 所 做 的 工作 和 在 投入 使 用 之 前 发 现 程序 
的 缺陷 。 当 我 们 测试 软件 时 ， 使 用 人 工 数据 来 执行 这 个 程序 。 我 们 审查 测试 运行 的 结果 ， 找 出 关 
于 程序 的 非 功能 属性 的 错误 、 异 常 或 其 他 信息 。 

测试 过 程 有 两 个 截然 不 同 的 目标 : 

L 向 开发 者 和 用 户 展示 软件 满足 了 需求 。 对 于 定制 软件 ， 这 意味 着 对 用 户 和 系统 需求 文档 
中 的 每 个 需求 至 少 要 有 一 个 测试 。 对 于 通用 软件 产品 ， 这 意味 着 要 对 每 个 集成 在 产品 发 布 版 本 
中 的 所 有 系统 特征 以 及 这 些 特 性 的 组 合 进行 测试 。 

2. 为 了 找 出 软件 中 的 缺陷 和 不 足 ， 即 软件 的 行为 是 不 正确 的 、 所 不 希望 的 或 不 符合 它 的 描 
述 的 。 这些 是 软件 缺陷 的 后 果 。 缺 陷 测 试 关心 的 是 找 出 所 有 不 希望 出 现 的 系统 的 行为 根源 。 例 如 
系统 崩溃 ， 与 其 他 系统 的 不 期 望 的 交互 ， 不 正确 的 计算 和 数据 毁坏 。 

有 效 性 测试 可 达成 第 一 个 目标 ， 即 在 这 一 阶段 中 使 用 系统 所 希望 的 使 用 方式 的 一 组 测试 案 
例 来 测试 系统 的 表现 。 缺 陷 测 试 可 达成 第 二 个 目标 ， 即 在 这 一 阶段 测试 案例 是 设计 来 暴露 系统 
的 缺陷 。 测 试 案例 可 以 是 故意 模糊 的 并 且 不 需要 反映 系统 通常 是 怎样 使 用 的 。 当 然 ， 在 这 两 个 测 
试 方法 之 间 没 有 确定 的 边界 。 在 有 效 性 测试 过 程 中 ， 我 们 将 会 发 现 系统 的 缺陷 ; 在 缺陷 测试 过 程 
中 ,一 些 测试 案例 将 会 表明 这 个 程序 满足 它 的 要 求 。 

图 8-1 会 帮助 我 们 理解 有 效 性 测试 和 缺陷 测试 之 间 的 差别 。 我 们 把 被 测试 系统 看 做 是 一 个 黑 
盒子 。 这 个 系统 接收 来 自 输入 集合 I 的 输入 数据 ， 在 输出 集合 0 中 产生 输出 结果 。 一 些 输出 结果 
可 能 是 错误 的 ， 这 些 错 误 输 出 在 集合 0. 中 ， 这 些 结果 是 由 于 集合 I 中 的 输入 而 产生 的 。 在 缺陷 
测试 中 ,优先 去 发 现在 集合 I 中 的 输入 ， 因 为 这 会 暴露 系统 的 问题 。 有 效 性 测试 需要 正确 的 输 
人 来 进行 测试 ， 这 些 输入 是 来 自 工 之 外 的 。 这 些 模拟 系统 产生 所 期 望 的 正确 的 结果 。 





输入 测试 数据 I, 


fü oO, 











输出 测试 结果 


图 8-1 程序 测试 的 输入 - 输出 模型 
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测试 不 能 够 证 明 软 件 没 有 缺陷 或 者 是 它 在 每 个 环境 中 都 能 够 按 指定 的 方式 执行 。 我 们 忽略 
的 某 个 测试 往往 能 够 发 现 系 统 其 他 的 一 些 问题 。 就 像 Edsger Dijkstra， 一 个 软件 开发 先驱 的 富有 
哲理 的 话 (Dijkstra 等 ，1972 ) : 

“测试 只 能 够 证 明 存 在 错误 ， 而 不 能 证 明 它 们 不 存在 "。 

测试 是 一 个 软件 更 广泛 的 检验 和 有 效 性 验证 (V&V) 过 程 的 一 部 分 。 检 验 和 有 效 性 验证 是 
不 一 样 的， 尽管 它们 经 常 被 混淆 。Barry Boehm 这 位 一 个 软件 工程 的 先驱 ， 简 洁 地 解释 了 两 者 之 
间 的 区 别 (Boehm, 1979) ; 

“检验 : 我 们 在 建立 正确 的 产品 吗 ?” 

外“ 有效 性 验证 : 我 们 建立 的 产品 正确 吗 ?” 

检验 和 有 效 性 验证 过 程 是 关于 审查 被 开发 的 软件 是 否 满 足 它 的 描述 和 符合 购买 用 户 所 需要 
的 功能 。 这 些 审查 过 程 在 一 有 需求 时 就 开始 了 ， 并 贯穿 整个 开发 过 程 。 

有 效 性 验证 的 目的 是 审查 软件 满足 它 的 所 规定 的 功能 和 非 功 能 性 需求 。 然 而 ,检验 是 一 个 
更 一 般 的 过 程 。 检 验 的 目的 是 确保 软件 符合 用 户 的 期 望 。 为 了 证 明 这 个 软件 的 确 可 以 做 到 用 户 
所 期 望 的 ， 不 简单 地 是 看 它 是 否 与 需求 描述 是 一 致 的 ， 还 要 看 它 是 否 真 的 是 客户 所 期 待 地 那样 
去 执行 的 。 检 验 是 必要 的 ， 因 为 正如 第 4 章 中 所 讨论 的 ， 需 求 描述 不 可 能 一 直 反映 用 户 和 使 用 者 

检验 和 有 效 性 验证 过 程 的 最 终 目 的 是 建立 信心 ， 即 这 个 软件 系统 是 “达到 目的 ”的 。 这 意 
味 着 这 个 系统 必须 足够 好 。 这 种 对 系统 的 信心 水 平 取决 于 系统 的 目的 、 系 统 用 户 的 期 望 和 系统 
当前 市 场 环境 : | 

1. 软件 目的 ”这 个 软件 越 重要 ， 它 的 可 靠 性 就 越 重要 。 例 如 ， 与 一 个 为 展示 新 产品 构思 所 
开发 的 原型 系统 相 比 ， 用 于 控制 安全 要 求 极 高 的 系统 所 需 的 信心 水 平 要 更 高 -一 点 。 

2. 用 户 期 望 ” 由 于 他 们 在 问题 频 出 、 不 可 靠 的 软件 上 的 一 些 经 验 ， 许多 用 户 对 软件 的 质量 
抱 有 很 低 的 期 望 。 当 软件 出 错时 ， 他 们 一 点 也 不 奇怪 。 当 新 的 系统 建 好 时 ， 用 户 会 忍受 它 的 失 
败 ， 因 为 使 用 的 好 处 超过 了 故障 恢复 的 成 本 。 在 这 些 情 况 之 下 ， 我 们 不 必 花 费 更 多 的 时 间 在 测试 
上 。 然 而 ， 随 着 软件 的 成 熟 ， 用 户 希 望 它 能 更 可 靠 ， 所 以 需要 更 彻底 地 测试 后 期 版 本 。 

3. 市 场 环境 当 一 个 系统 推 到 市 场 后 ， 系 统 的 卖家 必须 充分 考 虚 竞争 的 产品 和 用 户 愿意 付 
出 多 少 钱 来 购买 这 个 系统 ， 以 及 为 实现 这 一 系统 所 需 的 时 间 表 。 在 竞争 的 环境 中 ， 一 个 软件 公司 
可 能 在 这 个 项 目 完全 测试 和 调试 之 前 就 投放 到 市 场 中 ， 因 为 他 们 想 成 为 第 一 个 进入 市 场 的 公司 。 
如 果 一 个 软件 产品 非常 便宜 ， 用 户 可 能 会 忍受 一 个 较 低 的 信任 度 。 

如 同 软 件 测试 、 检验 和 有 效 性 验证 过 程 会 涉及 软件 审查 和 复查 。 审查 和 复查 是 分 析 和 审查 
系统 需求 、 设 计 模 型 、 程 序 的 源 代 码 ， 甚 至 是 建议 的 系统 测试 ， 它 们 被 称 作 “静态 ”V&V BOR, 
即 允 许 我 们 不 必 去 执行 这 个 软件 而 去 检验 它 。 图 8-2 说 明 软 件 审查 和 测试 在 软件 过 程 中 的 各 个 阶 
段 对 V&V 的 支持 。 箭 头 表明 在 过 程 中 使 用 这 个 技术 的 阶段 。 





图 8-2 审查 和 测试 
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审查 主要 关心 一 个 系统 的 源 代 码 ， 除 此 之 外 也 涉及 任何 可 读 的 软件 表示 ， 例 如 它 的 需求 ， 或 
是 设计 模型 。 当 我 们 审查 一 个 系统 时 ， 我 们 用 系统 知识 、 它 的 应 用 领域 、 编 程 或 建 模 语言 来 发 现 
它 的 错误 。 


Qaran 


测试 规划 是 关于 对 测试 过 程 中 所 有 的 活动 的 进度 安排 和 资源 分 配 。 它 包括 定义 测试 过 程 、 
考虑 可 用 的 时 间 和 人 员 。 通 常 ， 将 要 制订 一 个 测试 计划 ， 它 定义 测试 什么 、 预期 的 测试 进度 ， 
以 及 怎样 记录 测试 。 对 于 安全 性 要 求 极 高 的 系统 ， 测 试 计划 也 可 能 包括 运行 在 软件 上 的 测试 
的 细节 。 











http; //www. SoftwareEngineering-9. com/Web/Testing/Planning. html 


相 比 软件 测试 ， 软 件 审 查 有 3 个 优势 ; 

L 在 测试 期 间 ， 一 个 错误 可 能 会 掩盖 其 他 错误 。 当 一 个 错误 导致 不 希望 的 输出 结果 时 ， 我 
们 永远 不 能 确信 后 来 的 输出 异常 是 由 于 一 个 新 的 错误 造成 的 ， 还 是 原来 的 错误 的 副作用 而 导致 
的 。 因 为 审查 是 一 个 静态 的 过 程 ， 我 们 不 必 关心 错误 之 间 的 相互 作用 。 所 以 ， 一 个 单个 审查 阶段 
可 以 发 现 系统 中 的 许多 错误 。 

2. 审查 一 个 系统 的 不 完整 版 本 不 需要 额外 的 代价 。 如 果 一 个 程序 不 完整 ， 我 们 需要 开发 特 
殊 测 试 工具 来 测试 可 用 的 部 分 。 这 明显 增加 了 系统 的 开发 成 本 。 

3. 除了 搜索 程序 缺陷 ， 审 查 也 可 以 考虑 一 个 程序 更 广泛 的 质量 属性 ， 如 符合 标准 、 可 移植 
性 和 可 维护 性 。 我 们 可 以 寻找 系统 低 效 的 维护 和 更 新 ， 不 恰当 的 算法 ， 以 及 差 的 编程 风格 。 

程序 审查 是 一 很 早 提出 的 方法 ， 已 经 有 许多 研究 和 实验 证 明 审查 能 比 程序 测试 更 有 效 地 发 
现 缺 陷 。Fagan (1986) 报告 认为 : 一 个 程序 中 的 60% 的 错误 可 以 使 用 非 正式 的 程序 审查 来 发 
现 。 在 净 室 过 程 中 (Prowell 等 ，1999) ， 据 称 90% 以 上 的 程序 缺陷 可 以 在 程序 审查 中 发 现 。 

然而 ， 审 查 不 能 代替 软件 测试 。 审 查 不 是 很 擅长 发 现 以 下 几 种 错误 。 缺 陷 是 由 于 程序 不 同 部 
分 之 间 的 未 预料 到 的 交互 而 造成 的 ， 或 因为 时 序 问题 所 产生 的 ， 或 因为 系统 性 能 问题 而 导致 的 。 
此 外 ， 尤 其 是 在 小 公司 或 开发 组 中 ， 把 独立 的 审查 小 组 整合 起 来 是 非常 困难 和 昂贵 的 ， 因 为 所 有 
潜在 的 团队 成 员 也 可 以 是 软件 开发 人 员 。 第 24 章 (质量 管理 ) 将 详细 讨论 复查 和 审查 。 自 动静 
态 分 析 ， 即 通过 对 程序 的 源 文本 自动 进行 分 析 发 现 异常 情况 ， 将 在 第 15 章 中 解释 。 在 本 章 中 ， 
重点 放 在 测试 和 测试 过 程 上 。 

图 8-3 是 一 个 “传统 ”测试 过 程 的 抽象 模型 ， 用 在 计划 驱动 的 开发 中 。 测 试用 例 是 一 个 对 输 
入 和 在 特定 环境 下 的 期 望 的 输出 以 及 所 测试 的 对 象 的 一 个 描述 。 测 试 数据 是 为 了 测试 系统 而 设 
计 的 输入 。 在 一 些 情况 下 测试 数据 可 以 自动 产生 。 但 自动 测试 用 例 生成 是 不 可 能 的 ， 因 为 了 解 系 
统 应 该 怎样 执行 的 人 必须 对 期 待 的 测试 结果 给 出 定义 。 然 而 测试 可 以 自动 执行 。 预 期 的 结果 自 
动 地 和 预测 的 结果 相 比 较 ， 所 以 在 测试 过 程 中 不 需要 人 来 查找 错误 和 异常 。 








图 8-3 ”软件 测试 过 程 模型 
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典型 地 ， 一 个 商业 软件 系统 要 经 过 3 个 阶段 的 测试 ; 

1、 开 发 测试 ， 即 在 开发 中 进行 系统 测试 来 发 现 故 障 和 缺陷 。 在 测试 过 程 中 很 可 能 涉及 系统 
设计 师 和 程序 员 。 

2. 发 布 测试 ， 即 一 个 测试 小 组 对 一 个 系统 的 完整 版 本 进行 测试 ， 然 后 发 布 给 用 户 。 发 布 测 
试 的 目的 是 审查 系统 是 否 满足 系统 信息 持 有 者 的 要 求 。 

3. 用 户 测试 ， 即 系统 的 用 户 或 是 潜在 的 用 户 在 他 们 自己 的 环境 中 测试 这 个 系统 。 对 于 软件 
产品 来 说 ,“ 用 户 ” 可 能 是 一 个 内 部 营销 组 ， 它 决定 该 软件 是 否 可 以 投放 市 场 、 发 布 版 本 和 销 
售 。 接 收 测试 是 用 户 测试 的 一 种 ， 即 客户 正式 测试 一 个 系统 ， 以 决定 是 否 应 该 从 系统 供应 处 接 
收 ， 或 是 否 需 要 进一步 开发 。 

在 实践 中 ， 测 试 过 程 通常 既 包 含 手工 测试 也 包含 自动 测试 。 在 手工 测试 中 ， 测 试 人 员 用 一 些 
测试 数据 来 执行 程序 ， 然 后 将 结果 和 预期 结果 进行 比较 。 他 们 记录 下 来 并 报告 给 程序 开发 人 员 
有 差异 的 地 方 。 在 自动 测试 中 ， 测 试 是 通过 一 个 程序 去 执行 的 ， 该 测试 程序 会 一 遍 遍 地 执行 正在 
开发 的 系统 。 这 个 过 程 通常 比 人 工 测试 速度 要 快 ， 尤 其 是 当 它 要 进行 回归 测试 时 一 一 重新 运行 先 
前 的 测试 以 检测 对 程序 的 变更 没有 引信 新 的 故障 。 

自动 测试 的 使 用 在 过 去 的 几 年 里 有 相当 大 的 提高 。 然 而 ， 测 试 绝 不 能 是 完全 的 自动 测试 ， 因 
为 自动 测试 只 能 检测 一 个 程序 做 了 它 应 该 做 的 事 。 对 于 一 类 以 观感 好 坏 为 评价 依据 的 系统 〈 例 
如 图 形 用 户 界 面 ) ， 或 者 是 对 于 焦点 放 在 程序 没有 不 希望 的 负 效 应 的 测试 来 说 ， 自 动 测试 是 无 能 
为 力 的 。 


8.1 开发 测试 

开发 测试 包括 系统 开发 团队 所 进行 的 所 有 测试 活动 。 软 件 的 测试 人 员 通 常 是 开发 这 个 软件 
的 编程 人 员 ， 虽然 并 非 总 是 如 此 。 一 些 系 统 是 由 编程 人 员 和 测试 人 员 配 对 (结对 ) 开发 的 
(Cusamano 和 Selby, 1998) ， 每 个 程序 员 都 有 一 个 相关 测试 人 员 ， 这 个 测试 人 员 开 发 测试 用 例 并 
辅助 测试 过 程 。 对 要 求 极 高 的 系统 ， 会 采用 一 个 更 正规 的 测试 过 程 ， 由 独立 的 测试 人 员 负 责 所 有 
阶段 的 测试 。 他 们 负责 开发 测试 用 例 和 维护 测试 结果 的 详细 记录 。 


Qaran 
程序 调试 是 修改 由 测试 所 发 现 的 错误 和 问题 的 过 程 。 使 用 来 自 程序 测试 的 信息 ， 调 试 人 
员 用 他 们 对 程序 语言 的 知识 和 测试 所 预期 的 输出 结果 来 定位 和 修复 程序 错误 。 这 个 过 程 经 常 
是 由 交互 式 调试 工具 来 支持 的 ， 这 个 工具 可 以 提供 程序 执行 的 额外 信息 。 
http: //www. SoftwareEngineering-9. com/ Web/Testing/ Debugging. html 





在 开发 过 程 中 ， 可 在 3 个 粒度 级 别 进行 测试 : 

l. 单元 测试 ， 即 对 单独 的 程序 单元 或 对 象 类 进行 测试 。 单 元 测试 应 该 着 重 测试 对 象 或 方法 
的 功能 。 

2. 组件 测试 ， 即 将 多 个 程序 单元 整合 创建 一 个 合成 的 组 件 。 组 件 测试 应 该 着 重 测试 组 件 的 
接口 。 

3. 系统 测试 ， 即 集成 系统 中 的 一 些 或 所 有 的 组 件 作为 一 个 整体 进行 测试 。 系 统 测 试 应 该 着 
重 测试 组 件 的 交互 。 

开发 测试 主要 是 一 个 缺陷 测试 的 过 程 ， 即 测试 的 目的 是 发 现 系统 中 的 错误 。 因 此 ， 它 通常 和 
调试 交错 执行 。 调 试 是 定位 有 问题 的 代码 的 过 程 ， 然 后 修改 程序 来 解决 这 些 问 题 。 


第 8 章 软件 测试 155 


8.1.1 单元 测试 


单元 测试 是 测试 程序 组 件 的 过 程 ， 程 序 组 件 例如 方法 或 对 象 类 。 单 个 函数 或 方法 是 最 简单 
的 组 件 形式 ， 我 们 的 测试 应 该 用 不 同 的 输入 参数 调用 这 些 程序 。 可 以 使 用 在 8. 1. 2 节 中 所 讨论 的 
用 于 测试 用 例 设 计 的 方法 来 设计 函数 和 方法 的 测试 。 

当 我 们 调试 对 象 类 时 ， 我 们 应 该 设计 测试 来 提供 对 对 象 所 有 特征 的 覆盖 。 这 意味 着 我 们 
必用 


E 


N 


u 测试 与 对 象 相 关 的 所 有 操作 ; 
a 设置 和 检查 与 对 象 相关 的 所 有 属性 ; 
m 让 对 象 处 于 所 有 可 能 的 状态 下 ， 就 是 说 要 模拟 所 有 能 改变 对 象 状态 的 事件 。 
作为 一 个 例子 ,考虑 在 第 7 章 中 的 讨论 过 的 气象 站 对 象 的 例子 ， 
它 的 接口 如 图 8-4 所 示 。 它 只 有 一 个 属性 ， 就 是 它 的 标识 符 。 这 是 “| 二 一 
个 常量 ， 在 气象 站 建立 的 时 候 被 设 定 的 。 因 此 我 们 只 需要 一 个 测试 ， reportWeather ) 
来 检查 它 是 否 已 经 恰当 设置 。 我 们 需要 为 与 对 象 相关 的 所 有 方法 定 [Saw 
义 测 试用 例 ， 例 如 reportWeather，reportStatus 等 。 理 想 情 况 下 ， 我 们 ”|remoteControl(commands) 
应 当 孤 立地 测试 这 些 方法 ， 但 是 ， 在 某 些 情况 下 ， 某 些 测试 序列 是 |eonfieure(eommands) 
必要 的 。 例 如 ， 为 了 测试 关闭 气象 站 仪器 的 方法 ， 我 们 必须 执行 re- [shutdown(instruments) 
start 方法 。 

证 化 或 继承 使 得 对 象 类 测试 更 加 复杂 。 我 们 不 能 简单 地 测试 定 
义 在 这 个 类 中 的 操作 ， 然 后 认为 它 在 继承 这 些 操作 的 子 类 中 能 够 按照 预期 地 工作 。 这 个 继承 的 
操作 可 能 对 关于 其 他 的 操作 和 属性 做 了 假设 。 这 些 在 某 些 继承 了 这 个 操作 的 子 类 中 可 能 是 无 效 
的 。 因 此 我 们 必须 在 所 有 使 用 了 这 个 操作 的 上 下 文中 测试 此 操作 。 

为 了 测试 气象 站 的 状态 ， 我 们 使 用 一 个 状态 模型 ， 例 如 在 第 7 章 中 图 7-8 所 示意 的 。 使 用 这 
个 模型 ， 我 们 可 以 识别 出 需要 测试 的 状态 转换 的 序列 ， 并 指定 迫使 这 些 状态 转换 发 生 的 事件 序 
列 。 原 则 上 讲 ， 我 们 应 该 测试 所 有 可 能 的 状态 转换 序列 ， 虽 然 实际 上 这 可 能 太 昂贵 。 气 象 站 中 需 
要 测试 的 状态 序列 例子 包括 : 

Shutdown — Running — Shutdown 

Configuring — Running — Testing — Transmitting > Running 

Running ~ Collecting ^ Running > Summarizing > Transmitting — Running 

只 要 可 能 的 话 ， 我 们 应 该 使 单元 测试 自动 化 。 在 自动 化 单元 测试 中 ， 我 们 应 该 充分 利用 测试 
自动 化 框架 〈 例 如 JUnit) 来 编写 和 运行 程序 测试 。 单 元 测试 框架 提供 了 一 个 通用 的 测试 类 ， 我 
们 只 需 扩 展 它 来 形成 新 的 测试 案例 。 然 后 它们 可 以 运行 已 经 实现 的 所 有 测试 ， 然 后 通常 是 通过 
一 些 图 形 用 户 界面 来 报告 测试 成 功 或 失败 。 一 个 完整 的 测试 套件 通常 在 几 秒 内 运行 完毕 ， 因 此 
它 可 以 允许 我 们 在 每 次 对 程序 进行 一 点 修改 后 就 执行 一 次 。 

一 个 自动 化 测试 有 3 个 部 分 : 

1. 准备 部 分 ， 用 测试 用 例 初 始 化 系统 ， 即 输入 和 期 望 的 输出 。 

2. 调用 部 分 ， 即 调用 所 要 测试 的 对 象 或 方法 。 

3， 斯 言 部 分 ， 即 比较 调用 的 结果 和 预期 的 结果 是 否 相 同 。 如 果断 言 取 值 为 真 ， 那 么 测试 成 
功 ; 如 果断 言 取 值 为 假 ， 那 么 测试 失败 。 

有 时 候 ， 我 们 正在 测试 的 对 象 与 其 他 对 象 有 依赖 关系 ， 而 被 依赖 对 象 可 能 还 没有 写 出 来 ， 或 
使 用 它们 会 减 慢 测 试 过程 。 例 如 ， 如 果 测 试 对 象 调用 一 个 数据 库 ， 这 可 能 涉及 一 个 很 慢 的 准备 过 
程 ， 然 后 才能 使 用 。 在 这 些 测 试用 例 中 ， 我 们 要 决定 去 使 用 一 个 模型 对 象 。 所 谓 模型 对 象 就 是 这 











图 8-4 气象 站 系统 对 象 接口 
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样 一 种 对 象 ， 它 们 与 正在 使 用 的 外 部 对 象 有 相同 的 接口 并 仿真 其 功能 。 因 此 ， 一 个 仿真 数据 库 的 
模型 对 象 可 能 只 有 很 少 的 数据 项 存在 于 一 个 数组 中 。 因 此 访问 它们 很 快 ， 没 有 调用 数据 库 和 访 
问 磁盘 的 开销 。 同 样 地 ， 模 型 对 象 可 以 用 来 模拟 异常 的 操作 或 罕见 的 事件 。 例 如 ， 如 果 我 们 的 系 
统计 划 在 一 天 的 国定 时 刻 采 取 某 个 动作 ， 我 们 的 模型 对 象 可 以 很 简单 地 返回 这 些 时 间 ， 而 不 管 
真实 的 时 钟 时 间 。 


8.1.2 选择 单元 测试 案例 


测试 是 非常 昂贵 和 费时 的 ， 所 以 选择 有 效 的 单元 测试 案例 是 非常 重要 的 。 在 这 种 情况 下 ， 有 
效 性 意味 着 两 件 事 : 

1. 测试 案例 应 该 表明 ， 当 按照 预期 的 方式 使 用 时 ， 所 测试 的 组 件 能 够 像 假 设 的 那样 去 
执行 。 

2， 如 果 在 组 件 中 有 缺陷 ， 这 些 缺 陷 应 该 被 测试 案例 发 现 。 

因此 我 们 应 该 有 两 种 类 型 的 测试 案例 。 第 一 种 应 该 能 够 反映 一 个 程序 的 正常 操作 ， 并 且 应 
该 能 显示 出 组 件 工作 正常 。 例 如 ， 如 果 我 们 正在 测试 一 个 组 件 ， 这 个 组 件 创建 并 初始 化 一 个 新 病 
人 记录 , 然后 我 们 的 测试 案例 应 该 能 够 表明 这 个 记录 存在 于 数据 库 中 ， 并 且 它 的 字段 已 经 如 输入 
那样 设置 。 另 外 一 种 测试 用 例 应 该 建立 在 对 通常 问题 的 经 验 基础 上 。 它 应 该 使 用 非 正常 的 输入 
来 检测 是 否 得 到 了 正常 处 理 ， 或 者 是 否 使 得 给 件 月 溃 。 

这 里 所 讨论 的 两 种 策略 ， 可 能 会 有 效 地 帮助 我 们 选择 测试 案例 。 包 括 : 

L 划分 测试 ， 即 识别 具有 共同 特性 和 以 同样 的 方法 处 理 的 一 组 数据 。 我 们 应 该 从 这 些 组 中 
选择 测试 数据 。 

2. 基于 准则 测试 ， 即 使 用 测试 准则 来 选择 测试 案例 。 这 些 准则 反映 了 程序 员 在 开发 组 件 时 
对 经 常 犯 的 各 种 错误 的 经 验 。 

程序 的 输入 数据 和 输出 结果 总 是 落 在 几 个 不 同 且 具 有 共同 特征 的 类 中 ， 例 如 都 是 正 数 、 负 
数 和 菜单 选择 。 程 序 通 常 对 一 个 类 中 的 所 有 成 员 其 行为 都 是 差不多 的 。 也 就 是 说 ， 如 果 我 们 测试 
一 个 能 进行 某 种 计算 的 而 且 要 求 两 个 正 整数 作为 参数 的 程序 ， 我 们 会 期 望 这 个 程序 能 够 对 所 有 
的 正 整数 以 相同 的 方式 执行 。 

由 于 这 些 等 价 的 行为 ， 这 些 类 通常 叫做 等 价 划分 或 是 域 ( Bezier，1990) 。 测 试 案例 设计 的 
一 个 系统 化 的 方法 就 是 对 系统 或 组 件 识 别 所 有 输入 和 输出 的 划分 。 所 设计 的 测试 案例 要 使 得 输 
人 和 输出 落 在 这 些 划分 中 。 划 分 测试 既 可 以 用 来 设计 系统 的 测试 案例 也 可 以 用 来 设计 组 件 的 测 
试 案例 。 

在 图 8-5 中， 左边 大 椭圆 阴 影 代表 所 有 可 能 的 要 被 测试 的 程序 输入 。 没 有 阴影 的 小 椭圆 代表 
等 价 划 分 。 被 测试 的 程序 应 以 同样 的 方式 处 理 一 个 输入 等 价 划分 中 的 所 有 数据 。 输 出 的 等 价 划 
分 是 具有 某 些 共同 特性 的 程序 输出 。 有 时 ， 输 入 和 输出 等 价 划分 是 1 对 1 映射 关系 。 然 而 ， 并 非 
总 是 如 此 。 我 们 可 能 需要 定义 一 个 单独 的 等 价 划分 ， 其 输入 唯一 的 相同 特性 是 它们 产生 的 输出 
洲 在 同一 个 输出 划分 中 。 左 边 椭圆 阴 影 区 域 代表 无 效 的 输入 。 在 右边 椭圆 的 阴影 区 域 代 表 可 能 
发 生 的 异常 (例如 ， 和 针对 无 效 的 输入 的 响应 )。 

一 且 找 出 了 一 个 划分 集合 ， 我 们 就 可 以 从 每 一 个 这 些 划 分 中 选择 测试 案例 。 一 个 选择 测试 
案例 的 好 的 经 验 法 则 是 在 划分 的 边界 上 并 靠近 划分 中 间 点 的 地 方 选择 测试 案例 。 其 原因 是 设计 
者 和 程序 员 在 开发 系统 时 倾向 于 考虑 输入 典型 值 。 我 们 可 以 通过 选择 划分 的 中 间 点 值 来 测试 这 
些 典型 值 。 边 界 值 通常 是 非典 型 的 〈 例 如 ， 零 可 能 与 其 他 的 非 负数 的 行为 是 不 同 的 ) ， 所 以 有 时 
被 开发 者 忽视 掉 。 程 序 经 常 在 运行 这 些 非典 型 值 的 时 候 失 败 。 
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丛 入 等 价 划分 输出 划分 





图 8-5 等 价 划分 


我 们 是 通过 使 用 程序 描述 或 用 户 文档 来 识别 划分 ， 也 可 以 根据 经 验 知识 ， 即 预计 可 能 检测 出 错 
误 的 输入 值 的 那些 类 。 例 如 ， 假 设 某 个 程序 描述 声明 程序 接受 4 - 8 个 输入 值 ， 它 们 都 是 五 位 的 大 
于 10 000 的 整数 。 我 们 使 用 这 个 信息 来 辨别 输入 划分 和 可 能 的 测试 输入 值 。 如 图 8-6 所 示 。 


3 u 










9 999 100 000 
ih 50000 99 999 


输入 值 
图 8-6 等 价 分 类 


当 我 们 使 用 系统 描述 来 确定 等 价 划分 ， 这 被 称 为 黑 盒 测 试 。 这 时 ， 我 们 不 必 了 解 系统 是 如 何 
工作 的 。 然 而 ， 白 盒 测 试 对 黑 盒 测试 是 一 个 很 好 的 补充 ， 白 盒 测 试 时 ， 我 们 可 以 看 到 程序 代码 来 
发 现 可 能 的 测试 。 例 如 ， 我 们 的 代码 可 能 包括 处 理 错误 输入 的 异常 。 我 们 可 以 利用 这 个 知识 来 确 
定 “异常 划分 ” 相同 的 异常 处 理 但 不 同 的 范围 。 

等 价 划 分 是 测试 很 有 效 的 方法 ， 因 为 它 可 以 找 出 程序 员 在 处 理 边界 输入 时 经 常 犯 的 错误 。 
我 们 可 以 用 测试 准则 来 帮助 选择 测试 案例 。 测 试 案 例 的 准则 封装 关于 哪些 测试 案例 对 发 现 错误 
是 非常 有 效 的 知识 。 例 如 ， 当 我 们 测试 带 有 序列 、 数 组 或 者 是 链表 的 程序 时 ， 有 多 个 准则 可 以 揭 
露 缺 陷 : 

1. 用 一 个 只 有 单个 值 的 序列 来 测试 程序 。 程 序 设计 人 员 往 往 自 然 地 认为 一 个 序列 是 由 多 个 
值 构成 的 ， 有 时 在 他 们 的 程序 设计 中 嵌入 了 这 个 假设 。 结 果 是 ， 当 程序 接收 的 是 只 有 单个 值 的 序 
列 时 就 不 能 正常 工作 了 。 

2. 在 不 同 的 测试 中 使 用 不 同 规模 的 多 个 序列 。 这 样 做 减少 了 有 缺陷 程序 因为 输入 的 某 些 巧 
合 特性 意外 地 造成 正确 输出 的 可 能 性 。 

3. 导出 一 个 测试 ， 让 第 一 个 、 中 间 一 个 和 最 后 一 个 元 素 得 到 测试 。 这 个 方法 能 暴露 在 等 价 
分 边界 上 的 一 些 问题 。 
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路 径 测试 是 一 种 测试 策略 ， 其 目标 是 要 执行 组 件 或 程序 中 的 每 一 条 执行 路 径 。 如 果 每 一 
条 独立 路 径 都 执行 过 ， 那 么 组 件 中 的 每 条 语句 就 肯定 至 少 执行 过 一 遍 。 此 外 ， 所 有 的 条 件 语 
名 的 真 值 状 态 和 假 值 状态 都 经 过 了 测试 。 在 面向 对 象 的 开发 过 程 中 ， 路 径 测 试 在 测试 对 象 中 
的 方法 时 常会 用 到 。 

http: //www. SoftwareEngineering-9. com/ Web/Testing/PathTest. html 








{R Whittaker (Whittaker, 2002) 这 些 作者 把 他 们 的 测试 经 验 封装 在 一 组 原则 中 ， 这 些 原 则 增 
加 了 缺陷 检测 成 功 的 概率 。 下 面 列 出 了 这 些 原则 的 一 些 例 子 : 

m 选择 能 够 迫使 系统 产生 所 有 错误 信息 的 输入 ; 

m 设计 能 够 使 系统 的 输入 缓冲 溢出 的 输入 ; 

s 重复 相同 的 输入 或 一 系列 输入 很 多 次 ; 

m 迫使 产生 无 效 的 输出 ; 

m 迫使 输出 结果 太 大 或 太 小 。 

当 我 们 取得 一 定 的 测试 经 验 后 ， 我 们 可 以 开发 自己 的 选择 有 效 的 测试 案例 的 测试 准则 。 本 
章 后 面 将 给 出 测试 准则 的 很 多 例子 。 


8. 1.3 组 件 测试 


软件 组 件 通常 是 由 许多 彼此 交互 的 对 象 组 合 的 复合 组 件 。 例 如 ， 在 气象 站 系统 中 ， 再 配置 组 
件 包括 处 理 再 配置 各 个 方面 的 各 对 象 。 我 们 可 以 通过 它们 定义 的 接口 来 访问 它们 的 功能 。 那 么 
测试 这 些 组 件 时 ， 我 们 首先 关心 的 就 是 测试 组 件 的 接口 行为 是 否 符合 它们 的 描述 。 我 们 可 以 假 
定 组 件 的 单个 对 象 的 单元 测试 已 经 完成 。 

图 8-7 说 明了 组 件 接口 测试 的 方法 。 假 设 通 过 对 组 件 A, 
B, C 的 集成 构造 一 个 大 的 组 件 或 子 系统 。 测 试 案例 不 是 应 用 
于 单个 组 件 的 ， 而 是 应 用 于 由 这 些 组 件 构成 的 复合 组 件 的 接 
口 。 在 复合 组 件 中 的 接口 错误 是 不 能 通过 对 单个 对 象 或 组 件 的 






测试 检测 到 的 。 因 为 这 是 由 其 中 的 各 对 象 之 间 的 交互 引起 的 。 
在 程序 组 件 之 间 有 各 种 接口 类 型 ， 由 此 也 就 有 不 同类 型 ES - EN 

sic | 
1. 参数 接口 、 在 这 些 接口 中 ， 主 要 是 数据 和 函数 指针 ， 由 

一 个 组 件 传递 到 另 一 个 组 件 。 对 象 中 的 方法 有 一 个 参数 接口 。 is dioses 


2. 共享 内 存 接口 ”在 这 些 接口 中 ， 有 一 个 被 子 系统 共享 
的 内 存 块 。 数 据 由 一 个 子 系统 放 在 其 中 ， 被 另外 的 子 系统 取出 。 这 种 类 型 的 接口 经 常用 在 嵌 人 式 
系统 中 ， 即 传感器 创建 数据 供 其 他 系统 组 件 检索 和 处 理 。 

3. 程序 接口 ”在 这 些 接口 中 ， 有 子 系统 封装 的 一 组 程序 ， 这 些 程序 可 以 被 其 他 子 系统 调用 。 
对 象 和 抽象 数据 类 型 有 这 种 接口 形式 。 

4. 消息 传递 接口 ”在 这 些 接口 中 ， 子 系统 通过 消息 传递 来 请 求 其 他 子 系统 上 的 服务 。 返 回 
的 消息 会 包含 这 个 服务 的 运行 结果 。 一 些 面向 对 象 系统 有 这 种 接口 ， 同 样 ， 客 户 机 - 服务 器 系统 
也 有 这 种 接口 。 

接口 错误 是 复杂 系统 错误 中 最 常见 的 形式 之 一 (Luz, 1993) 。 接 口 错误 又 可 以 分 为 3 类: 

m 接口 误 用 ”调用 者 组 件 在 调用 其 他 组 件 时 接口 使 用 不 当 而 产生 接口 错误 。 这 种 错误 类 型 特 
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别 容易 发 生 在 参数 接口 中 ， 往 往 是 因为 使 用 的 参数 类 型 不 对 、 传 递 顺 序 不 对 ， 以 及 参数 数 

量 不 对 。 

s 接口 误解 ”调用 者 组 件 误解 了 被 调用 组 件 的 接口 描述 而 产生 接口 错误 ， 对 被 调用 组 件 行为 进行 

了 错误 的 假设 。 被 调用 组 件 没 有 按照 预期 的 方式 动作 ， 从 而 引起 了 调用 者 组 件 的 不 可 预期 的 行 

为 。 举 例 来 说 ， 一 个 二 分 搜索 例 程 用 一 个 未 排序 的 数组 参数 来 调用 ， 这 个 搜索 由 此 失败 。 

m 时 序 错误 ”一 般 发 生 在 实时 系统 中 ， 系 统 使 用 了 共享 内 存 接口 或 消息 传递 接口 而 产生 接口 

错误 。 数 据 的 生产 者 和 消费 者 可 能 有 不 同 的 速度 。 除 非 在 接口 设计 中 特别 注意 ， 不 然 的 

话 ， 由 于 生产 者 来 不 及 更 新 共享 接口 信息 造成 消费 者 访问 了 过 期 的 数据 。 

测试 接口 缺陷 很 困难 ， 原 因 在 于 接口 缺陷 往往 在 不 寻常 的 条 件 下 出 现 。 举 例 来 说 ， 一 个 对 象 
用 固定 长 度 的 数据 结构 实现 了 一 个 队列 。 调 用 者 对 象 可 能 认为 队列 是 一 个 无 穷 的 数据 结构 ， 因 
而 未 对 溢出 进行 审查 便 将 一 个 项 加 入 其 中 。 这 个 条 件 只 能 通过 设计 一 个 测试 用 例 迫 使 该 队列 发 
生 溢 出 并 导致 对 象 行为 紊乱 ， 才 能 使 对 象 的 行为 容易 让 测试 者 觉察 到 。 

更 深 一 层 的 问题 会 出 现在 两 个 交互 的 对 象 或 模块 都 有 缺陷 的 情况 下 。 一 个 对 象 当中 的 缺陷 
只 有 当 另 一 个 对 象 行为 异常 时 才能 暴露 出 来 。 举 例 来 说 ， 一 个 对 象 可 能 调用 其 他 对 象 上 的 服务 
并 假定 响应 是 正确 的 。 如 果 被 调用 的 服务 以 某 种 方式 出 现 故 障 ， 返 回 的 数值 可 能 虽然 有 效 但 却 
是 不 正确 的 。 这 不 能 立即 检测 出 来 ， 仅 当 后 来 的 计算 出 错时 才 显 现 出 来 。 

接口 测试 的 一 般 准 则 有 : 

1. 审查 要 测试 的 代码 并 明确 地 列 出 对 外 部 组 件 的 每 个 调用 。 设 计 一 组 测试 集 ， 使 得 对 传 给 
外 部 组 件 的 参数 的 值 选 择 紧 靠 取 值 范围 边缘 的 那些 值 。 这 些 特 殊 取 值 很 有 可 能 暴露 接口 的 不 一 
致 性 。 

2. 当 有 指针 从 接口 传递 时 ， 总 用 空 指针 参数 来 测试 接口 。 

3. 当 组 件 通 过 程序 接口 被 调用 时 ， 设 计 一些 容易 引起 组 件 失败 的 测试 。 对 失败 假设 的 不 一 
致 是 最 平常 的 描述 误解 之 一 。 

4. 在 消息 传递 系统 中 进行 强度 测试 ， 如 在 先前 一 节 中 讨论 的 那样 。 让 所 设计 的 测试 产生 比 
实际 情况 多 得 多 的 消息 。 由 此 时 序 问题 可 以 显露 出 来 。 这 是 一 个 有 效 的 揭示 时 序 问 题 的 方法 。 

5， 当 组 件 间 通 过 共享 内 存 来 交互 时 ， 可 以 设计 一 种 测试 ， 使 其 对 激活 组 件 的 次 序 有 所 改变 。 
这 些 测试 可 以 暴露 程序 员 对 共享 数据 的 生产 和 消费 顺序 所 进行 的 隐 式 的 假设 。 

审查 和 复查 有 时 比 发 现 接口 错误 的 测试 更 有 效 。 审 查 可 以 专注 于 组 件 接口 ， 在 审查 过 程 中 
回答 有 关 假 定 的 接口 行为 问题 。 一 个 强 类 型 语言 ， 例 如 Java， 人 允许 很 多 接口 错误 被 编译 器 捕获 。 
静态 分 析 工 具 ( 见 第 15 章 ) 能 发 现 很 多 种 接口 错误 。 












Vt 


系统 测试 包括 集成 不 同 的 组 件 ， 然 后 测试 我 们 所 创建 的 集成 系统 。 我 们 应 该 一 直 使 用 增 
量 的 方法 来 集成 和 测试 (例如 ， 我们 应 该 集成 一 个 组 件 ， 测 试 这 个 系统 ， 集成 另 一 个 组 件 ， 
再 测试 等 ) 。 这 意味 着 如 果 发 生 问题 ， 它 可 能 是 和 最 近 集 成 的 组 件 有 关 。 

增 量 集成 和 测试 是 敏捷 方法 的 最 基本 的 方法 ,例如 极限 编程 和 回归 测试 (参见 8.2 节 ) 
在 每 一 次 进行 增 量 集成 后 就 会 运行 。 
http: //www. SoftwareEngineering-9. com/Web/Testing/ Integration. html 


8.1.4 系统 测试 
开发 中 的 系统 测试 包括 集成 组 件 来 形成 一 个 新 版 本 的 系统 ， 然 后 测试 集成 后 的 系统 。 系 统 
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测试 确保 组 件 是 可 兼容 的 、 能 正确 地 进行 交互 ， 以 及 通过 它们 的 接口 在 适当 的 时 候 传送 正确 的 
数据 。 它 显然 与 组 件 测试 重 释 ,但 有 两 个 重要 的 区 别 : 

l. 在 系统 测试 中 ， 单 独 开发 的 可 复 用 组 件 和 商业 现货 系统 可 能 会 与 新 开发 的 组 件 集成 到 一 
起 ， 然 后 对 完整 的 系统 进行 测试 。 

2. 不 同 小 组 成 员 或 群 组 开发 的 组 件 可 能 在 这 个 阶段 集成 。 系 统 测 试 是 一 个 集体 的 过 程 而 不 
是 一 个 独自 的 过 程 。 在 一 些 公司 中 ， 系 统 测试 可 能 由 一 个 独立 的 测试 小 组 执行 ， 没 有 设计 人 员 和 
程序 员 的 参与 。 

当 我 们 集成 组 件 来 形成 一 个 新 的 系统 时 ， 我 们 得 到 系统 的 整体 行为 。 这 意味 着 当 我 们 把 组 
件 集 成 到 一 起 的 时 候 系统 的 某 些 功 能 元 素 才 显 现 出 来 。 这 可 能 是 计划 中 的 总 体 行 为 ， 这 个 必须 
进行 测试 。 例 如 ， 我 们 可 能 集成 一 个 认证 组 件 到 一 个 更 新 信息 的 组 件 。 然 后 系统 就 有 了 特性 以 规 
定 只 有 授权 用 户 方 可 进行 信息 更 新 。 然 而 有 时 ， 总 体 行为 并 非 是 计划 中 的 也 不 是 想 要 的 。 我 们 必 
须 开发 测试 案例 来 检查 这 个 系统 只 会 做 它 应 该 做 的 。 

因此 系统 测试 应 该 重点 测试 组 成 一 个 系统 的 组 件 间 和 对 象 间 的 交互 。 我 们 可 能 还 要 测试 可 
复 用 组 件 或 系统 以 检测 当 它们 和 新 的 组 件 集成 到 一 起 的 时 候 会 按照 预期 的 方式 工作 。 交 互 测试 
应 该 发 现 那些 仅 能 在 其 他 组 件 使 用 一 个 组 件 的 时 候 才 能 暴露 出 来 的 组 件 缺 陷 。 交 互 测试 也 可 以 
帮助 发 现 组 件 开发 者 对 其 他 组 件 的 误解 。 

因为 着 重 于 交互 ， 所 以 使 用 基于 案例 的 测试 是 系统 测试 一 个 很 有 效 的 方法 。 典 型 的 ， 每 个 案 
例 是 通过 几 个 组 件 或 系统 对 象 来 实现 的 。 测 试 一 个 案例 使 得 系统 发 生 这 些 交互 。 如 果 开 发 了 一 
个 序列 图 来 建 模 用 例 实现 ， 我们 可 以 看 到 在 交互 中 所 涉及 的 对 象 或 组 件 。 

为 了 说 明 一 点 ， 使 用 来 自 野外 气象 站 系统 的 例子 。 气 象 站 被 要 求 向 远程 计算 机 报告 汇总 的 
气象 数据 。 图 7-3 说 明了 这 个 用 例 (请 参阅 第 7 章 ) 。 图 8-8 (是 图 7-7 的 副本 ) 给 出 的 是 在 气象 
站 中 的 操作 序列 ， 即 当 它 响应 请 求 去 收集 数据 供 制图 系统 使 用 时 的 操作 。 我 们 可 以 使 用 此 图 来 
识别 将 要 被 测试 的 操作 ， 并 帮助 设计 测试 案例 来 执行 测试 。 因 此 发 出 需要 报告 的 请 求 将 引起 下 
列 方法 的 线程 的 执行 : 

SatComms:request 一 WeatherStation:reportWeather 一 Commslink:Get(summary) 

— WeatherData:summarize 


序列 图 可 以 帮助 我 们 设计 我 们 所 需要 的 特定 的 测试 案例 ， 同时 它 可 以 表示 什么 输入 数据 是 
所 需要 的 和 产生 什么 样 的 输出 数据 。 

1. 对 报告 请 求 的 输入 应 该 有 一 个 相应 的 确认 ， 且 最 终 报 告 会 从 请 求 返 回 。 在 测试 中 ， 我 们 
应 该 建立 一 个 能 用 来 检测 确定 报告 被 正确 组 织 的 汇总 数据 。 

2. 向 WeatherStation 索要 报告 的 输入 请 求 导致 了 一 个 汇总 报告 的 生成 。 我 们 可 以 孤立 地 测试 
它 ， 我 们 可 以 创建 源 数据 并 审查 WeatherStation 是 否 能 产生 正确 的 汇总 ， 源 数据 对 应 于 我 们 已 经 
准备 好 用 于 测试 SatComms 的 汇总 内 容 。 这 些 源 数据 也 可 以 用 于 对 WeatherData 对 象 的 测试 。 

当然 ， 图 8-8 是 简化 了 的 序列 图 ， 所 以 它 并 没有 表现 出 异常 。 一 个 完全 的 案例 /脚本 测试 必 
须要 考虑 到 异常 情况 ， 保 证 对 象 能 够 正确 处 理 异 常 。 

对 于 大 多 数 系统 来 说 ， 很 难 知 道 多 少 系 统 测试 是 最 低 限 度 的 以 及 何 时 应 该 停止 测试 。 无 遗 
漏 的 测试 ， 即 对 每 一 个 系统 可 能 的 执行 序列 都 进行 测试 ， 是 不 可 能 的 。 因 此 需要 建立 一 个 可 能 的 
测试 案例 的 子 集 ， 根 据 这 个 子 集 进行 测试 。 理 想 情 况 下 ， 软 件 公司 应 该 有 选择 这 个 子 集 的 策略 。 
这 些 策略 可 能 基于 一 般 的 测试 策略 ， 例 如 所 有 的 程序 语句 至 少 被 执行 一 次 的 策略 等 。 另 外 ， 测 试 
策略 也 可 以 基于 对 系统 的 使 用 经 验 ， 集 中 关注 对 可 用 的 系统 的 特征 。 例 如 ， 

l. 所 有 的 能 从 菜单 中 得 到 的 系统 功能 都 应 该 被 测试 到 。 

2. 可 以 从 同一 个 菜单 中 访问 的 组 合 功能 〈 例 如 文本 格式 化 ) 需要 被 测试 。 
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图 8-8 ”收集 气象 数据 的 序列 图 

3. 在 提供 用 户 输入 的 地 方 ， 所 有 的 功能 都 必须 对 正确 的 和 不 正确 的 输入 进行 测试 。 

来 自主 要 的 软件 产品 例如 字 处 理 器 或 电子 表格 的 经 验 可 以 清楚 看 出 ， 在 产品 测试 当中 一 般 
都 使 用 了 类 似 的 准则 。 当 珀 立地 使 用 软件 的 某 些 特性 时 它们 通常 能 正确 地 执行 。 问 题 出 现在 当 
结合 使 用 一 些 不 常用 的 特性 的 时 候 ， 就 像 Whittaker (Whittaker, 2002 ) 解释 的 。 他 给 出 了 一 个 
例子 ， 在 一 个 常用 的 字 处 理 回 中 ， 脚 注 与 多 栏 输出 一 起 使 用 时 会 引起 不 正确 的 文本 输出 。 

自动 系统 测试 一 般 比 自动 的 单元 或 组 件 测试 困难 。 自 动 单元 测试 依赖 一 个 预测 输出 ， 然 后 
将 这 些 预 测 写成 程序 。 接 下 来 就 是 将 这 些 预测 和 结果 进行 比较 。 然 而 ， 实 现 一 个 系统 的 目的 可 能 
是 产生 一 个 很 大 的 输出 ， 这 个 输出 或 许 不 能 轻易 地 预测 。 我 们 可 以 做 到 检查 输出 并 确认 它 的 可 
信 性 ， 而 无 需 提 前 生成 它 。 


8.2 测试 驱动 开发 


测试 驱动 开发 (TDD) 是 一 种 程序 开发 方法 ,我 们 交错 进行 测试 和 代码 开发 (Becker， 
2002; Jeffries 和 Melnik, 2007) 。 随 着 代码 逐步 增多 ， 针 对 代码 的 测试 也 会 随 之 增多 。 直 到 已 开 
发 的 代码 通过 了 测试 ， 否 则 我 们 不 可 以 开发 下 一 个 功能 代码 。 测 试 驱 动 开发 的 引信 是 作为 如 极 
限 编程 这 样 的 敏捷 方法 的 一 部 分 。 然 而 ， 它 也 可 用 于 计划 驱动 的 开发 过 程 中 。 

测试 驱动 的 基本 过 程 如 图 8-9 所 示 。 这 个 过 程 的 步骤 如 下 ， 

l. 从 识别 所 需要 的 功能 增 量 开始 。 这 个 通常 应 该 比较 小 ， 用 几 行 代码 就 可 以 实现 。 

2. 针对 此 功能 编写 一 个 测试 并 实现 为 一 个 自动 测试 。 这 意味 着 测试 是 可 执行 的 ， 并 将 报告 
它 是 通过 或 是 失败 。 

3. 然后 运行 此 测试 ， 以 及 所 有 已 实现 的 其 他 测试 。 最 初 ， 我 们 并 没有 实现 这 个 功能 ， 因 此 
这 个 新 的 测试 将 是 失败 的 。 这 是 有 意 的 ， 因 为 它 可 以 表明 测试 添加 了 一 些 新 东西 到 测试 集中 。 

4. 然后 是 实现 这 个 功能 ， 并 重新 运行 这 个 测试 。 这 可 能 涉及 重 构 现 有 的 代码 来 改善 它 ， 并 
添加 新 的 代码 到 已 经 存在 的 代码 中 。 

5. 一 旦 所 有 的 测试 成 功 ， 我 们 可 以 转 去 实现 下 一 个 功能 块 。 

自动 测试 环境 ， 例 如 支持 Java 程序 测试 的 JUnit 环境 (Massol 和 Husted, 2003), ， 对 于 TDD 
来 说 是 必要 的 。 由 于 代码 开发 成 非常 小 的 增 量 ， 所 以 我 们 必须 能 够 在 每 次 增加 功能 或 重 构 程 序 
时 都 要 进行 测试 。 因 此 ， 测 试 是 嵌 人 到 一 个 单独 的 可 以 运行 测试 和 调用 被 测试 程序 的 程序 中 的 。 
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使 用 这 个 方法 ， 可 以 在 几 秒 内 运行 数 百 个 单独 的 测试 。 


识别 新 
的 功能 






图 8-9 测试 驱动 的 开发 


测试 驱动 的 开发 的 一 个 强 有 力 的 理由 是 ， 它 可 以 帮助 程序 员 和 弄 清 楚 代 码 段 实际 上 应 该 做 什 
么 。 为 了 写 一 个 测试 ， 我 们 需要 了 解 目的 是 什么 ， 因 为 这 样 的 理解 可 以 使 得 编写 所 需要 的 代码 变 
得 很 简单 。 当 然 ， 如 果 我 们 没有 完全 的 这 方面 的 知识 和 理解 ， 测 试 驱动 开发 也 帮 不 上 忙 。 如 果 我 
们 没有 足够 的 理解 来 写 测试 ， 我 们 就 无 法 写 出 所 需要 的 代码 。 例 如 ， 如 果 我 们 的 计算 涉及 除法 ， 
我 们 就 应 该 检查 除数 没有 为 0。 如 果 我 们 忘记 写 这 样 一 个 测试 ， 检 测 的 代码 将 不 会 包括 在 程 
序 中 。 

除了 对 问题 有 较 好 的 理解 外 ， 测 试 驱动 开发 还 有 其 他 的 优势 : 

|l 代码 覆盖 ”原则 上 ， 我 们 所 写 的 每 个 代码 片段 都 至 少 有 一 个 测试 。 因 此 ,我们 可 以 确信 
系统 中 的 所 有 代码 都 实际 执行 过 。 因 为 代码 边 写 边 进行 测试 ， 在 开发 过 程 中 可 以 提早 发 现 缺 陷 。 

2. 回归 测试 ” 随 着 一 个 程序 的 开发 ， 一 个 测试 套件 也 增 量 式 开 发 出 来 。 我 们 可 以 一 直 运 行 
回归 测试 来 审查 程序 中 的 变更 没有 引起 新 的 错误 。 

3. 简化 调试 ” 当 一 个 测试 失败 的 时 候 ， 问 题 出 在 何 处 是 很 明显 的 。 新 写 的 代码 需要 审查 和 
修改 。 我 们 不 必 使 用 调试 工具 来 对 问题 定位 。 使 用 测试 驱动 开发 的 报告 显示 ， 在 一 个 测试 驱动 开 
发 中 ， 几 乎 没有 必要 使 用 自动 调试 器 。 

4. 系统 文档 ”测试 本 身 就 表现 为 一 种 文档 形式 ， 它 描述 了 代码 应 该 做 什么 。 阅 读 测试 可 以 
使 得 理解 代码 变 得 更 容易 。 

测试 驱动 开发 的 最 重要 的 优势 之 一 是 它 减少 了 回归 测试 的 代价 。 回 归 测 试 包括 运行 测试 集 ， 
在 对 一 个 系统 进行 更 改 后 这 些 测 试 已 成 功 执行 。 回 归 测 试 就 是 在 系统 发 生 了 变更 之 后 重复 运行 
先前 曾 成 功 运行 过 的 测试 集 。 回 归 测 试 检查 这 些 改 变 没有 引入 新 的 缺陷 到 系统 中 来 ， 以 及 新 的 
代码 和 已 存在 的 代码 能 够 很 好 地 按 预 期 的 方式 交互 。 回 归 测 试 是 非常 昂贵 的 ， 当 一 个 系统 是 人 
工 测试 的 时 候 ， 回 归 测 试 有 时 是 不 现实 的 。 因 为 时 间 成 本 和 人 力 成 本 都 非常 高 。 在 这 种 情形 下 ， 
我 们 必须 尝试 并 选择 最 相关 的 测试 来 重新 运行 ， 但 这 样 做 很 容易 丢失 重要 的 测试 。 

然而 ， 自 动 化 测试 ， 对 于 测试 优先 开发 来 说 是 至 关 重 要 的 ， 它 极 大 地 减少 回归 测试 的 成 本 。 
现 有 的 测试 可 能 会 快速 地 并 且 成 本 很 小 地 重新 运行 。 在 测试 优先 开发 中 ， 在 对 系统 进行 了 变更 
后 ， 所 有 的 已 经 存在 的 测试 必须 成 功 地 运行 后 ， 才 能 添加 新 的 功能 。 作 为 一 个 程序 员 ， 我 们 必须 
很 确信 我 们 所 添加 的 新 功能 不 能 为 已 有 代码 带 来 问题 。 

测试 驱动 开发 在 一 个 新 的 软件 开发 中 是 最 经 常 使 用 的 ， 其 中 功能 要 么 是 在 新 的 代码 中 实现 
的 要 么 是 使 用 经 过 良好 测试 过 的 标准 库 。 如 果 我 们 复 用 大 量 的 代码 组 件 或 是 遗留 系统 ， 我 们 需 
要 将 这 些 系统 作为 一 个 整体 来 编写 测试 。 测 试 驱动 开发 在 多 线程 系统 中 也 是 低 效 的 。 不 同 的 线 
程 可 能 会 在 不 同时 刻 在 不 同 的 测试 过 程 中 交错 运行 ， 所 以 可 能 产生 不 同 的 结果 。 

如 果 我 们 使 用 测试 驱动 开发 ， 我 们 还 需要 一 个 系统 测试 进程 来 验证 系统 。 也 就 是 说 ， 检 查 它 
符合 本 系统 所 有 信息 持 有 者 的 需求 。 系 统 测试 也 测试 性 能 、 可 靠 性 ， 并 检查 该 系统 并 没有 做 不 应 
该 做 的 事 ， 例 如 产生 不 期 望 的 输出 等 。Andrea (2007) 建议 如 何 扩展 测试 工具 将 系统 测试 的 某 些 
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方面 和 TDD 集成 在 一 起 。 

测试 驱动 开发 已 经 证 明 对 于 小 的 或 中 等 规模 的 项 目 来 说 是 一 个 成 功 的 方法 。 一 般 来 说 ， 采 
用 这 个 方法 的 程序 员 都 很 乐意 用 它 并 发 现 它 是 一 种 更 有 生产 率 的 软件 开发 方法 (Jeffries 和 
Melnik ，2007) 。 在 一 些 试验 中 ， 它 已 证 明 会 提高 代码 质量 ; 在 其 他 试验 中 ， 结 果 尚 无 定论 。 然 
而 ， 没 有 证 据 证 明 TDD 会 降低 代码 质量 。 


8.3 发 布 测试 


发 布 测试 是 为 开发 组 以 外 的 用 户 使 用 的 系统 的 一 个 特殊 版 本 所 做 的 测试 过 程 。 通 常 ， 系 统 
发 布 版 本 是 为 了 客户 和 使 用 者 。 但 在 一 个 复杂 项 目 中 ， 发 布 版 本 可 能 是 为 了 正在 开发 有 关系 的 
系统 的 男 一 个 小 组 。 对 于 软件 产品 来 说 ， 发 布 版 本 可 能 为 了 将 来 出 售 它 的 产品 管理 者 而 准备 的 。 

在 开发 过 程 中 ， 发 布 测试 和 系统 测试 之 间 有 两 个 重要 的 区 别 ; 

1. 一 个 独立 的 与 系统 开发 无 关 的 小 组 应 该 负责 发 布 测试 。 

2 开发 组 的 系统 测试 的 重点 是 在 系统 中 发 现 错误 (缺陷 测试 ) 。 发 布 测试 的 目标 是 检查 系统 
符合 它 的 需求 描述 ， 并 且 足 可 以 对 外 销售 〈 有 效 性 验证 测试 ) 。 

这 个 过 程 的 主要 的 目标 是 增加 供应 商 对 系统 能 良好 地 使 用 的 信心 。 如 果 系 统 满足 需求 的 话 ， 
它 就 可 以 作为 一 个 产品 或 移交 给 客户 的 软件 发 布 出 去 。 因 此 ， 发 布 测试 必须 证 明 系 统 具有 指定 
的 功能 、 性 能 和 可 依赖 性 ， 在 常规 操作 下 不 会 出 错 。 它 应 该 将 所 有 的 系统 需求 考虑 在 内 ， 而 不 仅 
仅 是 系统 最 终 用 户 的 需求 。 

发 布 测试 通常 是 一 个 黑 盒 测试 过 程 ， 测 试 从 系统 描述 导出 。 系 统 被 作为 一 个 黑 盒子 ， 它 的 行 
为 只 能 通过 输入 和 与 它 相 应 的 输出 来 确定 。 这 种 测试 的 另 一 个 名 称 叫 做 “功能 测试 ” ， 因 为 测试 
者 只 关心 系统 的 功能 并 不 关心 软件 的 实现 。 


8. 3.1 基于 需求 的 测试 


好 的 需求 工程 实践 的 一 个 总 的 原则 是 需求 应 该 是 可 测试 的 。 也 就 是 说 ， 需 求 应 该 写 得 容易 
从 中 导出 测试 设计 。 测 试 者 于 是 可 以 检查 需求 是 否 满足 了 。 因 而 ， 基 于 需求 的 测试 是 一 种 系统 化 
的 测试 用 例 设计 方法 ， 我 们 考虑 每 一 个 需求 并 得 到 它 的 一 组 测试 。 基 于 需求 的 测试 是 有 效 性 验 
证 测试 而 不 是 缺陷 测试 一 一 我 们 要 努力 证 明 系 统 已 经 正确 地 实现 了 它 的 需求 。 

例如 ， 考 虑 MHC -PMS 的 需求 (在 第 1 章 中 介绍 的 ) ， 这 些 都 与 药物 过 敏 审查 有 关 。 

如 果 知 道 一 个 病人 对 任何 特殊 药物 过 敏 ， 那 么 有 该 药物 的 处 方 将 导致 向 系统 用 户 发 出 警告 
消息 。 

如 果 开 处 方 的 医生 选择 忽略 过 敏 警 告 ， 那 么 他 /她 应 当 提 供 一 个 忽略 的 原因 。 

为 了 检查 是 否 满足 这 些 需 求 ， 我 们 可 能 需要 开发 一 些 相关 的 测试 : 

l 建立 一 个 没有 已 知 过 敏 史 的 病历 记录 。 开 一 个 会 出 现 某 已 知 过 敏 症 的 处 方 。 检 查 系 统 没 
有 发 出 警告 信息 。 

2 建立 一 个 有 已 知 过 敏 史 的 病历 记录 。 开 一 个 会 出 现 病人 对 此 过 敏 的 处 方 ， 并 检查 警告 信 
息 由 系统 发 出 。 

3， 建 立 一 个 病历 记录 ， 其 中 包括 两 个 或 两 个 以 上 过 敏 药物 。 开 两 个 处 方 分 别 带 有 其 中 一 种 
过 敏 药物 ， 并 检查 系统 为 每 种 药物 发 出 了 正确 的 警告 信息 。 

4. 为 病人 开 带 有 两 个 过 敏 药物 的 处 方 。 检 查 发 出 的 两 个 正确 的 警告 信息 。 

35. 开 一 个 带 某 种 过 敏 药物 的 处 方 ， 这 种 药物 发 出 警告， 医生 拒绝 了 这 个 警告 。 检 查 系统 允 
许 用 户 提供 信息 解释 警告 被 拒 的 原因 。 

从 中 我 们 可 以 看 到 ， 测 试 一 个 需求 不 意味 着 只 写 一 个 测试 。 我 们 通常 要 写 很 多 个 测试 来 保 
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证 对 此 需求 的 覆盖 。 我 们 也 应 该 为 基于 需求 的 测试 保持 我 们 的 追踪 记录 ， 它 将 测试 和 正在 测试 
的 特殊 需求 联系 起 来 。 


8.3.2 情景 测试 


情景 测试 也 叫 脚本 测试 ， 或 场景 测试 是 发 布 测试 的 一 个 方法 ， 设 计 典 型 的 使 用 场景 并 使 用 
这 些 来 为 系统 开发 测试 用 例 。 一 个 情景 是 一 个 故事 ， 这 个 故事 描述 了 系统 使 用 的 一 种 方式 。 情 景 
测试 应 该 现实 ， 并 且 真 实 的 系统 用 户 应 该 能 将 它 和 自己 的 工作 联系 起 来 。 如 果 你 使 用 过 情景 作 
为 需求 工程 过 程 的 一 部 分 ( 见 第 4 章 ) ， 那 么 你 就 能 够 复 用 这 些 作 为 测试 情景 。 

在 关于 情景 测试 的 一 篇 论文 中 ，Kaner (2003) 建议 : 一 个 情景 测试 应 该 是 一 个 叙述 性 的 故 
事 ， 这 个 故事 是 可 信 的 和 适度 复杂 的 。 它 应 该 激发 信息 持 有 者 ; 也 就 是 说 ， 他 们 应 该 和 情景 有 共 
鸣 ， 并 且 相信 系统 通过 此 测试 是 很 重要 的 。 他 还 建议 它 应 该 易于 评估 。 如 果 系 统 有 问题 ， 则 发 布 
测试 组 应 该 能 够 看 出 来 。 作 为 MHC-PMS 的 一 个 可 能 的 情景 的 例子 ， 图 8-10 描述 了 该 系统 在 出 诊 
中 可 能 的 一 个 使 用 方式 。 

. 通过 登录 到 系统 进行 身份 验证 。 

- 下 载 和 上 传 特定 病人 的 病历 到 笔记 本 电脑 。 
. 家庭 出 诊 时 间 安 排 。 

. 在 移动 设备 上 加 密 和 人 解密 病历 。 

. 记录 检索 和 修改 。 

.连接 包含 副作用 信息 的 药物 数据 库 。 

. 电话 提示 系统 。 

如 果 我 们 是 一 个 发 布 测试 者 ,我 们 通过 这 个 情景 ,看 看 Kate 扮演 的 角色 ， 并 且 观 察 对 不 同 
的 输入 系统 是 如 何 回应 的 。 作 为 “Kate”， 可 能 会 故意 地 犯错 误 ， 例 如 输入 错误 的 密 钥 短语 来 解 
密 记 录 。 这 是 检查 系统 对 错误 的 响应 。 我 们 应 该 仔细 地 注意 引起 的 问题 ， 包 括 性 能 问题 。 如 果 一 
个 系统 太 慢 ， 这 将 会 改变 使 用 它 的 方式 。 例 如 ， 如 果 加 密 一 个 记录 时 间 过 长 ， 那 么 着 急 的 用 户 可 
能 会 跳 过 这 个 阶段 。 如 果 他 们 丢失 笔记 本 电脑 ， 那 么 未 经 授权 的 人 可 以 查看 病人 的 病历 。 

当 我 们 使 用 基于 情景 的 方法 时 ， 我 们 通常 在 同一 场景 测试 几 个 需求 。 因 此 ， 除 了 检查 单个 需 
求 外 ,我们 也 应 该 检查 需求 的 组 合 不 会 引起 问题 。 
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Kate 是 一 个 专门 从 事 精神 健康 护理 的 护士 。 她 的 责任 之 一 是 访问 在 家 的 病人 来 检查 他 们 的 治疗 是 否 有 效 ， 以 | 
及 确认 他 们 没有 壮 受 到 药物 的 负面 作用 的 危害 。 

家 访 的 一 天 ，Kate 登 人 到 MHC-PMS， 并 使 用 它 来 打印 她 那天 的 家 访 时 间 表 ， 还 有 关于 她 要 家 访 的 病人 的 所 有 
信息 。 她 请 求 下 载 这 些 病人 的 记录 到 她 的 笔记 本 上 。 提 示 她 用 密 钥 短语 来 加 密 笔 记 本 电脑 的 记录 。 

她 家 访 的 一 个 病人 叫 Jim， 他 是 在 进行 抑郁 症 的 治疗 。Jim 感觉 药物 可 以 帮助 他 ， 但 是 他 认为 这 药物 有 让 他 晚 
上 睡 不 着 觉 的 副作用 。Kate 察看 他 的 记录 ， 系 统 提示 她 输入 密 钥 短语 来 解密 记录 。 她 检查 了 开 的 药物 ， 并 查询 它 
的 副作用 。 失 眠 是 一 个 已 知 的 药物 副作用 ， 因 此 她 在 Jim 的 记录 里 标注 了 这 个 问题， 并且 建议 Jim 去 诊所 改变 药 
物 。 他 同意 了 ， 因 此 Kate 记录 了 一 个 电话 提醒 以 便 记 住 当 她 回 到 诊所 后 帮助 他 预约 一 个 医生 然后 打 电 话 给 Jim, 
她 结束 了 谈话 ， 并 在 系统 重新 加 密 Jim 的 记录 。 

完成 她 的 谈话 后 ，Kate 返回 诊所 ， 并 上 传 家 访 病人 的 记录 到 数据 库 中 。 系 统 生成 Kate 的 一 个 联络 人 的 电话 清 
单 ， 这 些 是 需要 后 续 追 踪 调 查 和 提供 诊所 预约 的 病人 。 








FA 8-10 MHC-PMS 情景 的 使 用 


8. 3.3 性 能 测试 
一 且 一 个 系统 已 经 完全 集成 ， 就 可 以 测试 它 的 总 体 特性 了 ， 这 些 总 体 特 性 的 例子 有 性 能 和 
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可 靠 性 。 性 能 测试 必须 设计 以 保证 系统 可 以 处 理 预 期 的 负荷 。 这 通常 包括 对 一 系列 的 测试 的 规 
划 ， 这 里 的 测试 是 要 让 负荷 稳定 地 增长 直到 系统 性 能 不 可 接受 为 止 。 

和 其 他 测试 类 型 相 比 ， 性 能 测试 既 关 心 对 系统 满足 其 需求 的 证 明 ， 也 要 关心 发 现 系统 的 问 
题 和 缺陷 。 为 了 测试 系统 是 否 达到 了 它 的 性 能 需求 ， 我 们 必须 建立 一 个 操作 概要 。 操 作 概 要 
〈 见 第 15 章 ) 是 一 组 反映 由 系统 所 处 理 的 实际 混合 工作 的 测试 。 因 此 ， 如 果 系 统 90% 的 交易 是 
和 A 型 的 ，5% 的 交易 是 B 型 ， 屏 余 的 有 C、D、E 型 ， 那 么 我 们 就 必须 设计 一 个 操作 简 档 ， 这 样 绝 
大 多 数 测试 是 A 类 型 的 。 否 则 ， 我 们 将 不 会 得 到 系统 操作 性 能 的 精确 测试 。 

当然 这 个 方法 不 一 定 是 缺陷 测试 的 最 好 的 方法 。 经 验 告诉 我 们 发 现 缺陷 的 最 有 效 的 方法 是 
设计 系统 边界 的 测试 。 在 性 能 测试 中 ， 这 意味 着 给 系统 以 压力 ， 指 的 是 通过 制造 软件 设计 边界 外 
的 需要 来 测试 系统 。 这 个 也 被 称 为 “压力 测试 ” 。 例 如 ， 我 们 正在 测试 一 个 交易 处 理 系统 ， 这 一 
系统 被 设计 成 处 理 每 秒 钟 300 个 交易 ， 然 后 我 们 逐步 地 以 每 秒 超 过 300 个 交易 业务 来 增加 系统 负 
荷 ， 直 到 在 系统 的 最 大 设计 负荷 之 上 是 完好 的 或 系统 失败 。 这 种 类 型 的 测试 有 两 个 功能 : 

1， 它 能 测试 系统 的 失败 行为 。 当 测试 负荷 达到 系统 预期 的 最 大 负荷 时 ， 系 统 会 产生 一 些 特 
别 的 反应 。 在 这 种 情况 下 ， 最 重要 的 是 系统 失败 不 应 该 引起 数据 崩溃 或 者 是 意 想不到 的 用 户 损 
失 。 压 力 测试 审查 过 载 系统 引起 的 故障 保护 而 不 是 在 此 负荷 下 愤 溃 。 

2， 它 给 系统 以 压力 ， 可 以 让 系统 暴露 那些 在 正常 情况 下 不 会 暴露 的 缺陷 。 虽 然 有 人 会 认为 这 种 缺 
陷 在 正常 情况 下 根本 不 会 导致 系统 失败 ， 但 这 种 压力 测试 可 能 模拟 一 些 正常 情况 下 的 不 寻常 组 合 。 

压力 测试 尤其 与 基于 处 理 器 网 络 的 分 布 式 系统 有 关 。 在 大 负载 情况 下 ， 这 些 系统 通常 性 能 
急剧 下 降 。 不 同 的 处 理 器 间 需 要 交换 数据 ， 由 网 络 来 协调 这 些 数据 ， 某 些 处 理 器 需要 等 待 来 自 其 
他 处 理 器 的 数据 ， 因 而 整个 网 络 变 得 越 来 越 慢 。 当 性 能 下 降 时 ， 压 力 测试 可 以 帮 我 们 发 现 问题 ， 
这 样 我 们 就 可 以 对 系统 增加 检查 来 拒绝 超出 此 临界 点 的 交易 。 


8.4 用 户 测试 


用 户 或 客户 测试 是 测试 过 程 中 的 一 个 阶段 ， 在 这 个 阶段 ， 用 户 或 客户 提供 输入 和 系统 测试 
建议 。 这 可 能 会 是 一 个 正式 的 对 外 部 供应 商 提供 的 系统 的 测试 ， 或 是 一 个 非 正式 的 过 程 ， 用 户 测 
试 一 个 新 的 软件 产品 来 看 看 他 们 是 否 喜欢 或 这 个 产品 是 否 能 符合 他 们 的 需求 。 用 户 测试 是 必 不 
可 少 的 ， 即 使 全 面 的 系统 测试 和 发 布 测试 已 完成 。 原 因 是 来 自用 户 工作 环境 的 因素 对 一 个 系统 
的 可 靠 性 、 性 能 、 可 用 性 以 及 健壮 性 有 很 大 的 影响 。 

对 于 一 个 系统 开发 者 来 说 ， 他 实际 上 是 不 可 能 复制 该 系统 的 工作 环境 的 ， 因 为 在 开发 环境 
中 的 测试 难免 是 模仿 的 。 例 如 ， 假 设 一 个 用 于 医院 的 系统 用 在 一 个 诊所 的 环境 中 ， 其 他 事情 照常 
进行 ， 如 病人 急救 ， 与 亲人 交谈 等 。 这 些 都 会 影响 一 个 系统 的 使 用 ， 但 是 开发 者 不 可 能 在 测试 中 
包括 这 些 内 容 。 

实际 上 ， 存 在 3 种 不 同 的 用 户 测试 类 型 ， 

1. o 测试， 软件 的 用 户 与 开发 小 组 一 起 在 开发 者 的 地 点 测试 这 个 软件 。 

2. p 测试 ， 该 软件 的 版 本 是 提供 给 用 户 让 他 们 进行 试验 ， 并 向 开发 者 提出 他 们 所 发 现 的 
问题 。 

3 接收 测试 ， 客 户 测试 系统 来 决定 他 们 是 否 愿 意 从 系统 开发 者 那里 接收 系统 并 在 客户 环境 
中 部 署 。 

在 a 测试 中 ， 系 统一 边 开发 ,用 户 和 开发 者 一 边 一 起 测试 这 个 系统 。 这 意味 着 用 户 可 以 发 
现 那些 对 开发 测试 小 组 不 是 很 明显 的 问题 和 情况 。 开 发 者 真 的 只 能 按照 需求 来 开发 ， 但 是 这 些 
需求 通常 不 能 反映 其 他 影响 软件 使 用 的 因素 。 用 户 因此 可 以 提供 实践 的 信息 ， 这 样 可 以 帮助 设 
计 更 多 符合 实际 的 测试 。 
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a 测试 经 常 在 开发 的 软件 产品 作为 套装 系统 来 出 售 的 时 候 使 用 。 这 些 产品 的 用 户 很 乐意 参与 
到 a 测试 过 程 中 ， 因 为 这 可 以 让 他 们 早点 了 解 有 关 新 系统 功能 的 信息 。a 测试 也 降低 了 软件 非 预 
期 的 变更 会 对 它们 的 市 场 带 来 破坏 性 影响 的 风险 。 然 而 ，a 测试 在 客户 软件 正在 开发 的 时 候 也 会 
用 到 。 敏 捷 的 方法 ， 例 如 极限 编程 主张 在 开发 过 程 中 用 户 的 参与 ， 使 用 者 应 该 在 设计 系统 测试 中 
起 到 关键 作用 。 

p 测试 发 生 的 早期 有 时 该 系统 未 完成 ， 软 件 系 统 的 版 本 是 提供 给 客户 和 用 户 进行 评估 的 。 
p 测试 可 能 是 从 早期 使 用 该 系统 的 客户 中 选 出 来 组 成 一 个 小 组 。 或者， 该 软件 可 以 公开 地 供 对 这 
个 有 兴趣 的 人 使 用 。B 测试 最 常用 在 那些 在 许多 不 同 的 环境 中 使 用 的 软件 产品 〈《 相 对 的 是 定制 系 
统 ， 一 般 都 是 在 一 个 确定 的 环境 中 使 用 的 ) 。 软 件 开发 者 不 可 能 了 解 和 复制 软件 使 用 的 所 有 环 
境 。 因 此 B 测试 对 于 发 现 软 件 和 使 用 该 软件 的 环境 特性 之 间 的 交互 问题 是 必 不 可 少 的 。B 测试 也 
形成 一 个 市 场 一 一 客户 可 以 学 习 他 们 的 系统 ， 并 且 了 解 系统 可 以 为 他 们 做 什么 。 

接收 测试 是 定制 系统 开发 的 一 个 固有 的 部 分 。 发 布 测试 之 后 就 是 接收 测试 。 它 需要 客户 正 
式 测 试 一 个 系统 来 决定 是 否 可 以 从 开发 商 那里 接收 这 个 系统 。 接 收 意味 着 要 为 该 系统 付费 。 

在 接收 测试 过 程 中 有 6 个 阶段 ， 如 图 8-11 所 示 。 它 们 是 : 

1， 定义 接收 准则 ”这 个 阶段 理想 情况 下 应 该 是 发 生 在 签订 系统 合同 之 前 的 过 程 早期 。 接 收 
准则 应 该 是 系统 合同 一 部 分 ， 并 得 到 客户 和 开发 者 的 同意 。 然 而 实际 上 ， 在 早期 阶段 定义 接收 准 
则 是 很 困难 的 。 详 细 的 需求 描述 可 能 是 不 可 得 的 ， 在 开发 过 程 中 需求 可 能 会 有 重大 变化 。 

2. 计划 接收 测试 ”这 涉及 确定 接收 测试 所 需要 的 资源 、 时 间 和 预算 ， 以 及 做 一 个 测试 计划 
表 。 这 个 接收 测试 计划 也 应 该 讨论 对 需求 所 需 的 覆盖 和 系统 功能 测试 的 顺序 。 它 应 该 确定 测试 
过 程 的 风险 ， 例 如 系统 崩溃 、 性 能 不 足 ， 并 且 讨 论 这 些 风 险 如 何 得 到 缓解 。 

3. 导出 接收 测试 ”一 旦 接收 准则 确定 后 ， 就 需要 设计 测试 来 检查 系统 是 否 可 以 接收 。 接 收 
测试 目的 应 该 是 测试 系统 的 功能 性 和 非 功能 性 特性 (例如 性 能 ) 。 理 想 情 况 下 ， 接 收 测试 应 该 提 
供 完 整 的 系统 要 求 覆盖 。 实 际 上 ， 很 难 建立 完全 客观 的 接收 标准 。 经 常会 有 关于 一 个 测试 是 否 证 
A ERSA TEMENE Pie, 

运行 接收 测试 ”经 过 同意 的 测试 在 系统 上 执行 。 理 想 情况 下 ， 这 个 应 该 发 生 在 系统 使 用 
CARAS, LARTER ERR, 因此 ， 必 须 建 立 一 个 用 户 测试 环境 来 运行 这 些 
测试 。 使 这 个 过 程 自动 运行 是 很 困难 的 ， 因 为 接收 测试 的 一 部 分 可 能 包含 测试 最 后 用 户 和 系统 
之 间 的 交互 。 可 能 需要 对 最 终 用 户 有 一 些 培训 。 

5. 协商 测试 结果 ”所 有 定义 的 接收 测试 全 部 通过 并 且 系 统 没有 任何 问题 ， 这 是 不 太 可 能 的 。 
如 果 是 这 种 情况 的 话 ， 则 接收 测试 就 完成 了 ， 并 且 系 统 可 以 交付 了 。 更 常见 的 是 ， 会 发 现 一 些 问 
题 。 在 这 种 情况 下 ， 开 发 者 和 客户 必须 协商 来 决定 该 系统 是 否 能 够 很 好 地 投入 使 用 。 他 们 还 必须 
商定 开发 者 对 已 确定 问题 的 回应 。 

6. 拒绝 /接收 系统 ”这 个 阶段 包含 开发 者 和 客户 之 间 的 一 个 会 议 ， 这 个 会 议 来 决定 这 个 系统 
是 否 可 以 接收 。 如 果 该 系统 不 足以 来 使 用 ， 则 需要 进一步 的 开发 来 解决 这 个 已 确定 的 问题 。 一 旦 
完成 ， 接 收 测试 阶段 就 循环 进行 。 


测试 | 测试 | 
定义 接 计划 接 
收 测试 上 “| 收 而 


收 准 则 





图 8 8-11 接收 测试 过 程 


第 8 章 - 软件 测试 


在 敏捷 方法 中 ， 例 如 极限 编程 ， 接 收 测试 有 不 同 的 意思 。 原 则 上 ， 它 认可 这 样 一 个 概念 ， 即 
用 户 应 决定 是 否 接受 一 个 系统 。 然 而 ， 在 极限 编程 中 ， 用 户 是 开发 组 的 一 部 分 〈 例 如 ， 他 是 一 
个 a 测试 人 员 )， 并且 以 用 户 故事 的 形式 提供 系统 需求 。 他 或 她 也 负责 定义 测试 ， 这 个 测试 决定 
开发 的 软件 是 否 支 持 用 户 的 故事 (情景 )。 测 试 是 自动 执行 的 ， 直 到 故事 接收 测试 通过 ， 否 则 开 
发 不 会 继续 进行 。 因 此 没有 独立 的 接收 测试 活动 。 

正如 第 3 章 中 所 讨论 的 ， 用户 参与 的 一 个 问题 是 要 确保 嵌入 在 开发 小 组 的 用 户 是 一 个 “ 典 
型 ”的 用 户 ， 他 知道 系统 使 用 的 一 般 知识 。 找 到 一 个 这 样 的 一 个 用 户 是 很 困难 的 ， 因 此 接收 测 
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试 可 能 不 是 实际 情况 的 真实 反映 。 还 有 ， 自 动 化 测试 的 需求 严重 限制 了 交互 式 测试 系统 的 灵活 


性 。 对 于 这 样 的 系统 ， 接 收 测试 可 能 需要 一 组 最 终 用 户 来 使 用 这 个 系统 ， 好 像 这 是 他 们 每 天 工作 
的 一 部 分 一 样 。 

我 们 可 能 认为 接收 测试 是 一 种 明确 的 合同 问题 。 如 果 一 个 系统 没有 通过 它 的 接收 测试 ， 则 这 个 
系统 不 应 该 接收 ， 并 且 不 应 付费 。 然 而 ， 事 实 是 很 复杂 的 。 客 户 想 尽 可 能 快 地 使 用 这 个 软件 ， 早 一 
天 部 署 就 可 以 早 一 天 乙 利 。 他 们 也 许 已 购买 新 的 硬件 ， 已 经 为 此 进行 了 人 员 培 训 ， 也 为 此 改变 了 他 
们 的 流程 。 他 们 也 许 乐意 接收 这 个 软件 ， 不 管 它 有 什么 样 的 问题 ， 因 为 不 使 用 这 个 软件 的 代价 要 比 
带 有 问题 来 工作 的 代价 更 大 。 因 此 ， 协 商 的 结果 可 能 是 有 条 件 地 接收 这 个 系统 。 客 户 也 许 接 收 这 个 
系统 ， 就 可 以 开始 部 署 了 。 系 统 的 提供 商 同 意 修复 紧急 问题 ， 以 及 尽快 给 客户 一 个 新 的 版 本 。 


要 点 


u 测试 只 能 证 明 系 统 中 存在 错误 。 它 不 能 说 明 系 统 中 不 再 有 缺陷 。 

wu 开发 测试 是 软件 开发 小 组 的 责任 。 独 立 的 测试 小 组 应 该 在 系统 发 布 给 客户 之 前 负 起 测试 系 
统 的 责任 。 在 用 户 测试 过 程 中 ， 客 户 或 系统 使 用 者 提供 测试 数据 ， 以 及 确定 测试 成 功 。 

w 开发 测试 包括 单元 测试 ， 即 测试 单个 对 象 和 方法 ;组 件 测试 ， 即 测试 相关 的 一 组 对 象 ， 系 
统 测试 ， 即 测试 部 分 或 完整 的 系统 。 

测试 软件 时 ， 我 们 应 该 根据 经 验 和 原则 把 软件 打 散 来 选择 测试 案例 的 类 型 ， 选 择 那 些 在 其 
他 系统 中 已 经 证 明 是 能 有 效 地 发 现 缺 陷 的 那些 测试 案例 类 型 。 

w 有 可 能 的 话 ， 我 们 应 该 编写 自动 化 测试 。 将 这 个 测试 谱 人 到 程序 中 ， 这 样 的 程序 可 以 每 次 
当 系 统一 有 变化 就 运行 。 

n 测试 优先 开发 是 开发 的 一 种 方法 ， 在 代码 测试 之 前 就 已 经 写 好 测试 。 做 小 的 代码 更 改 和 进 
行 代码 重 构 ， 直 到 所 有 测试 成 功 执行 。 

a 情景 (BD) 测试 是 非常 有 用 的 ， 因 为 它 可 以 复制 系统 的 使 用 。 它 包括 设计 一 种 典型 的 
使 用 场景 ， 并 以 此 来 导出 测试 案例 。 

n 接收 测试 是 一 个 用 户 的 测试 过 程 ， 目的 是 决定 这 个 软件 是 否 足 以 进行 部 署 。 以 及 能 否 用 在 
它 的 实际 操作 环境 中 。 


进一步 阅读 材料 

(How to design practical test cases) 这 是 一 篇 有 关 测 试 案例 设计 的 人 门 指导 文章 ， 作 者 来 自 
一 家 日 本 公司 ， 该 公司 在 生产 优质 软件 方面 极 负 盛名 (T. Yamaura, IEEE Software, 15 (6), No- 
vember 1998) , http; //dx. doi. org/10. 1109/52. 730835, 

(How to Break Software: A Practical Guide to Testing ) ”这 是 一 本 软件 测试 的 实用 书 ， 而 不 是 
一 本 理论 教材 。 作 者 给 出 了 很 多 基于 经 验 的 有 关 设 计 测 试 的 准则 ， 这 些 准 则 对 于 发 现 系统 缺陷 
RARO AS (J. A. Whittaker, Addison-Wesley , 2002) , 

(Software Testing and Verification) 这 是 IBM 系统 期 刊 的 一 个 特别 专辑 ， 包 括 一 系列 有 关 测 
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试 的 论文 ， 其 中 包括 一 个 很 好 的 综述 ， 以 及 有 关 测 试 量度 和 测试 自动 化 的 几 篇 论文 (IBM Sys- 
tems Journal, 41 (1), January 2002)。 


(Test-driven development) ”这 个 关于 测试 驱动 开发 的 专辑 包括 一 个 关于 TDD 的 很 好 的 回顾 和 


关于 TDD 如 何在 不 同类 型 的 软件 中 使 用 的 经 验 文章 (IEEE SOFTware, 24 (3) May/June 2007) , 
练习 


8.1 
8.2 
8.3 


8.4 


8.5 
8.6 


8.7 
8.8 
8.9 


解释 在 系统 交付 给 客户 之 前 ， 为 什么 对 于 程序 来 说 没有 一 点 缺陷 是 没有 必要 的 。 

解释 为 什么 测试 只 能 检测 错误 的 存在 ， 而 不 是 证 明 它 的 不 存在 。 

一 些 人 认为 开发 者 不 应 该 参与 测试 他 们 自己 的 代码 ， 所 有 的 测试 应 该 是 独立 小 组 的 责任 。 给 出 支持 和 
反对 开发 者 进行 测试 的 观点 。 

假设 请 求 我 们 测试 Paragraph 对 象 中 一 个 叫做 “catWhiteSpace” 的 方法 ， 在 段落 中 ,使 用 单个 的 空白 
字符 代替 连续 的 空白 字符 。 找 出 这 个 例子 的 测试 划分 并 导出 对 catWhiteSpace 方法 的 一 个 测试 集合 。 
什么 是 回归 测试 ? 解释 怎样 使 用 自动 测试 和 测试 框架 (如 JUnit) 简化 回 退 测 试 。 

MHC-PMS 是 通过 调整 一 种 现成 的 信息 系统 来 构建 的 。 你 怎样 认为 测试 一 个 这 样 的 系统 和 测试 一 个 用 
面向 对 象 的 语言 (例如 Java) 开发 的 软件 之 间 的 区 别 。 

写 一 个 情景 用 来 帮助 设计 气象 站 系统 的 测试 。 

我 们 如 何 理解 术语 “压力 测试 "? 如 何 对 MHC - PMS 进行 压力 测试 。 

在 测试 过 程 的 早期 阶段 ， 用 户 参 与 到 发 布 测试 的 优势 是 什么 ?用户 参 与 有 劣势 吗 ? 


8.10 ”系统 测试 的 一 个 普遍 的 测试 方法 是 测试 系统 直到 测试 预算 耗 尽 ， 然 后 将 系统 交付 给 客户 。 对 于 要 交 


付 给 外 部 客户 的 系统 来 说 ， 讨 论 这 个 方法 的 道德 问题 。 
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目标 

本 章 旨 在 解释 为 什么 软件 进化 是 软件 工程 中 一 个 重要 组 成 部 分 ,讲解 软件 进化 过 程 。 读 完 
AXE, 你 将 了 解 以 下 内 容 : 

@ 了 解 变 更 是 不 可 避免 的 。 如 果 要 使 软件 系统 继续 有 用 ， 那 么 软件 开发 和 软件 进化 将 集成 在 

螺旋 模型 中 。 

u 了 解 软件 进化 过 程 以 及 作用 于 这 些 过 程 上 的 因素 。 

u 学 习 不 同类 型 的 软件 维护 和 影响 维护 费用 的 因素 。 

m 了 解 如 何 对 遗留 系统 进行 评估 ， 从 而 决定 是 应 该 抛弃 、 维 护 、 再 工程 还 是 更 换 这 些 系统 。 


软件 的 开发 不 会 因为 系统 的 交付 而 停止 ， 它 贯穿 系统 的 整个 生命 周期 。 在 系统 开发 完成 后 ， 
如 果 要 使 其 继续 有 用 ， 那 么 对 它 进 行 修改 是 不 可 避免 的 。 由 于 业务 变更 和 用 户 期 待 的 改变 ， 使 得 
对 已 有 系统 的 新 需求 浮现 出 来 。 由 于 种 种 原因 ， 软 件 的 某 些 部 分 需要 修改 。 如 修改 正 运行 中 发 现 
的 错误 ， 适 应 新 的 运行 平台 ， 提 升 性 能 或 其 他 的 非 功能 特性 。 所 有 这 些 都 意味 着 在 系统 交付 后 ， 
软件 系统 总 是 在 不 断 进化 以 满足 变更 的 需求 。 

由 于 机 构 完 全 依赖 它们 的 软件 系统 ， 并 且 在 上 面 可 能 已 投入 了 数 百 万 美元 ， 因 此 软件 进化 
对 它们 来 讲 是 非常 重要 的 。 系 统 已 经 成 为 机 构 的 重要 经 营 资产 ， 必 须 投 资 进行 系统 变更 以 保持 
其 价值 。 通 常 ， 大 多 数 大 型 公司 在 维护 系统 上 的 开支 要 比 在 系统 开发 上 的 开支 多 很 多 。 基 于 一 项 
非 正 式 的 工业 调查 结果 ，Edikh (Erlikh, 2000) 认为 85% ~90% 的 软件 花费 是 进化 花费 。 其 他 
的 调查 也 显示 大 约 2/3 的 软件 花费 是 进化 花费 。 无 疑 ， 对 于 所 有 IT 公司 来 说 软件 变更 的 开支 都 
占据 了 预算 的 很 大 一 部 分 。 

变更 的 用 户 需求 ， 软 件 的 错误 报告 ， 或 是 一 个 软件 系统 环境 中 其 他 系统 的 更 改 都 有 可 能 成 
为 软件 进化 的 原因 。Hopkins 和 Jenkins (2008) 创造 出 一 个 术语 “布朗 菲尔德 软件 开发 《brown- 
field software development)” ”用 以 描述 软件 系统 的 情况 ， 若 软件 系统 处 于 依赖 其 他 许多 软件 系统 的 
环境 中 ， 则 需要 其 做 出 改进 和 控制 。 

因此 ， 一 个 系统 的 进化 不 能 被 认为 是 孤立 的 。 对 环境 的 改变 会 导致 系统 的 改变 ， 从 而 可 能 进 
一 步 导致 对 环境 的 改变 。 当 然 ， 在 一 个 “系统 丰富 ”的 环境 中 的 系统 进化 通常 会 增加 进化 的 困 
难 和 成 本 。 认 识 和 分 析 了 系统 本 身 提 出 变化 的 影响 ， 你 还 可 能 不 得 不 去 评估 这 会 对 运行 环境 中 
的 其 他 系统 可 能 产生 怎样 的 影响 。 

令 人 满意 的 软件 系统 通常 有 一 个 很 长 的 生命 周期 。 例 如 ， 大 型 的 军事 或 者 基础 架构 系统 ， 像 
航空 交通 管制 系统 ， 可 能 拥有 30 年 或 者 更 长 时 间 的 生命 周期 。 商 业 系 统 的 生命 周期 通常 也 会 在 
10 年 以 上 。 软 件 的 成 本 很 高 ， 所 以 一 个 公司 会 使 用 一 个 软件 系统 很 多 年 来 收回 前 期 对 软件 产品 
的 投资 。 显 然 ， 已 安装 的 系统 ， 随 着 业务 和 它 的 环境 的 改变 ， 其 需求 也 随 之 改变 。 因 此 ， 系 统 的 
新 版 本 以 及 加 入 的 改变 和 更 新 ， 通 常会 定期 发 布 新 版 本 。 

因此 ， 软 件 工程 是 一 个 贯穿 系统 生命 周期 的 由 需求 、 设 计 、 实 现 、 测 试 组 成 的 螺旋 过 程 
【 见 图 9-1) 。 你 开始 于 系统 的 第 1 个 版 本 的 创建 。 一 旦 交付 使 用 ， 变 更 提出 ， 则 版 本 2 的 开发 立 
刻 开 始 。 事 实 上 ， 甚 至 于 在 系统 部 署 之 前 ， 进 化 的 需求 可 能 已 经 变 得 很 明显 ， 以 至 于 在 目前 的 版 
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本 发 布 之 前 ， 软 件 的 后 继 版 本 已 就 在 开发 中 了 。 











图 9-1 开发 和 进化 的 螺旋 模型 

这 个 软件 进化 模型 是 针对 一 个 专门 机 构 既 负责 最 初 的 软件 开发 又 负责 以 后 的 软件 进化 这 种 
情况 的 。 大 部 分 打包 的 软件 产品 是 按 这 种 方式 开发 的 。 对 于 定制 软件 ， 通 常 使 用 另 一 种 不 同 的 方 
法 。 一 个 软件 公司 为 客户 开发 软件 ， 然 后 由 客户 自己 的 开发 团队 接管 这 个 系统 ， 即 由 他 们 负责 软 
件 进化 。 还 有 另 一 种 选择 是 ， 软 件 用 户 和 男 外 一 家 不 同 的 公司 签订 一 个 单独 的 合同 ， 要 求 其 负责 
系统 的 支持 和 进化 。 

在 这 种 情况 下 ， 螺 旋 进 程 经 常 是 不 连续 的 。 需 求 和 设计 文档 不 能 从 一 个 公司 传递 到 另 一 个 
公司 。 公 司 可 能 合并 或 重组 ， 继 承 来 自 其 他 公司 的 软件 ， 于 是 发 现 需求 和 设计 文档 都 必须 进行 变 
更 。 当 从 开发 到 进化 的 转换 不 是 无 颖 衔接 时 ， 软 件 移交 之 后 的 变更 过 程 被 称 为 软件 维护 。 如 在 本 
章 的 后 面 将 会 谈 到 的 ， 维 护 包括 额外 的 过 程 活动 ， 例 如 ， 除 正常 的 软件 开发 活动 外 的 程序 理解 。 

Rajlich 和 Bennett (2000) 提出 一 个 软件 进化 生命 周期 的 另 一 个 替代 视图 ， 如 图 9-2 所 示 。 
在 这 个 模型 中 ， 他 们 把 进化 和 服务 区 别 开 来 。 进 化 是 指 涉及 软件 体系 结构 和 功能 性 重大 改变 的 
阶段 ， 而 在 服务 阶段 ， 只 是 对 软件 做 一 些 相对 小 的 和 必 不 可 少 的 一 些 改变 。 





图 9-2 进化 与 服务 


在 进化 过 程 中 ， 软 件 在 顺利 地 使 用 并 且 有 一 个 连续 的 关于 需求 变化 的 提议 。 但 是 ， 随 着 软件 
被 更 改 ， 它 的 结构 也 在 退化 ， 更 改 的 成 本 也 变 得 越 来 越 大 。 这 种 情况 通常 发 生 在 使 用 数 年 以 后 ， 
其 间 也 有 其 他 环境 的 改变 ， 比 如 说 硬件 或 者 操作 系统 。 在 生命 周期 的 某 些 阶段 ， 软 件 到 达 了 一 -个 
转变 点 ， 软 件 需要 做 出 重大 的 变化 ， 实 现 新 的 需求 ， 并 且 变 得 越 来 越 不 符合 成 本 效益 。 

在 这 个 阶段 ， 软 件 从 进化 转向 服务 。 在 服务 阶段 ， 软 件 仍 然 是 可 用 的 并 且 一 直 在 使 用 着 ， 只 
有 一 些小 的 局 部 的 调整 需要 做 。 在 这 个 阶段 ， 公 司 经 常会 考虑 怎样 将 软件 更 换 掉 。 在 最 后 的 阶 
段 ， 逐 步 淘 汰 ， 软 件 可 能 还 在 使 用 ， 但 是 不 会 有 进一步 的 改动 需要 被 实现 。 用 户 需要 去 想 办 法 绕 
过 所 发 现 的 任何 问题 。 


9.1 进化 过 程 
软件 进化 过 程 在 相当 程度 上 依赖 于 所 维护 的 软件 的 不 同类 型 和 参与 开发 过 程 的 机 构 和 人 。 


在 一 些 机 构 中 ， 进 化 可 能 是 一 种 非 正式 的 过 程 ， 变 更 请 求 大 部 分 来 自 于 系统 用 户 和 开发 者 的 交 
流 。 在 另外 一 些 公司 ， 这 却 是 一 个 在 每 个 阶段 都 产生 结构 化 文档 的 正式 过 程 。 
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在 所 有 的 机 构 中 ， 系 统 变更 建议 都 是 系统 进化 的 动力 。 这 些 变更 建议 可 能 包括 在 发 布 的 版 
本 中 还 没有 实现 的 已 有 需求 、 新 的 需求 请 求 、 系 统 所 有 
者 的 补丁 要 求 和 来 自 系统 开发 团队 的 改进 软件 的 新 想法 
和 建议 。 变 更 识别 的 过 程 和 系统 进化 是 循环 和 持续 的 ， 
并 且 贯 穿 于 系统 的 生命 周期 ( 见 图 9-3 ) 。 

变更 提议 应 当 与 需要 实现 这 些 提议 的 系统 的 组 成 部 
分 联系 起 来 。 这 样 就 允许 我 们 估计 成 本 和 影响 。 这 是 通 
常 的 变更 管理 过 程 的 一 部 分 ， 它 还 应 当 保证 在 每 一 个 系 
统 版 本 中 各 组 成 部 分 有 其 正确 的 版 本 。 我 们 将 在 第 25 BE 
中 详细 讲述 变更 和 配置 管理 。 

图 9-4 摘自 Arthur (1988) ， 展 示 了 进化 过 程 的 概况 。 图 93 变更 发 现 和 进化 过 程 
进化 过 程 包括 变 更 分 析 的 基础 活动 、 版 本 规划 、 系 统 实现 和 对 客户 发 布 。 通 过 对 这 些 恋 更 的 花费 
与 影响 的 评估 ， 来 发 现 系统 在 多 大 程度 上 受到 影响 以 及 实现 变更 可 能 花费 多 少 。 如 果 变 更 建议 
被 接受 ， 那 么 系统 的 新 版 本 就 在 规划 中 了 。 在 版 本 规划 中 ， 所 有 的 变更 建议 (缺陷 修补 、 改 写 
和 新 功能 ) 都 将 得 到 考虑 。 随 后 做 出 决定 在 系统 的 下 一 版 本 中 实现 哪些 变更 。 对 这 些 变更 加 以 
实现 和 验证 ， 发 布 新 版 本 。 在 下 一 个 版 本 中 重复 这 个 过 程 ， 形 成 一 个 新 的 变更 建议 集合 。 
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你 可 以 把 变更 实现 的 过 程 看 成 是 一 个 开发 过 程 的 选 代 过 程 ， 在 此 迄 代 过 程 中 完成 对 系统 修 
改版 本 的 设计 、 实 现 和 测试 。 只 是 ， 这 里 的 一 个 重要 的 区 别 是 变更 实现 的 最 初 阶段 是 对 程序 的 理 
解 ， 特 别 是 当 源 系统 的 开发 者 不 承担 变更 实现 的 责任 时 。 在 这 个 阶段 ， 你 要 了 解 程序 是 怎样 构造 
和 怎样 实现 它 的 功能 的 。 在 实现 一 个 变更 时 ,我 们 要 利用 以 上 的 理解 来 确保 实现 的 变更 不 会 对 
现 有 系统 产生 不 利 影响 。 

理论 上 ， 在 此 过 程 的 变更 实现 阶段 应 该 修改 系统 的 描述 、 设 计 和 实现 来 反映 对 系统 的 变更 
( 见 图 9-5)。 提 出 反映 系统 变更 建议 的 新 需求 ， 并 对 此 加 以 分 析 和 验证 。 对 系统 组 件 重新 设计 、 
实现 和 测试 。 适 当 的 话 ， 还 要 构造 变更 建议 的 一 个 原型 作为 变更 分 析 的 一 部 分 。 

在 进化 过 程 中 ， 要 详细 分 析 需 求 ， 因 此 往往 在 变更 分 析 的 早期 阶段 原本 不 明显 的 -一些 变更 
要 求 逐 渐 浮 现 出 来 。 这 意味 着 所 提出 来 的 变更 有 可 能 要 修改 ， 并 且 在 实现 前 需要 进 -- 步 的 与 客 
Pe. 
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变更 请 求 有 时 关系 到 需要 被 立刻 解决 的 一 些 系统 问题 ， 有 下 面 儿 个 原因 使 得 这 些 紧 迫 的 变 
更 会 发 生 : 

l. 如 果 有 严重 的 系统 缺陷 发 生 ， 那 么 必须 修补 而 使 正常 的 操作 继续 。 

2. 如果 系统 操作 环境 的 变更 中 有 不 期 望 的 情况 发 生 ， 那 么 就 会 破坏 正常 的 操作 。 

3. 如果 系统 上 运行 的 业务 有 未 预料 到 的 改变 发 生 ， 比 如 有 新 的 竞争 对 手 出 现 或 者 有 新 的 法 
律 生效 并 影响 到 了 系统 。 

在 这 些 情况 下 ， 就 需要 做 出 快速 的 变更 ， 也 意味 着 你 不 能 遵循 正常 的 变更 分 析 过 程 。 不 是 按 
正常 的 过 程 去 修改 需求 和 设计 ， 而 是 要 对 程序 做 紧急 的 修补 来 解决 突 发 问题 ( 见 图 9-6) 。 这 样 
做 的 危险 是 使 得 需求 、 软 件 设计 和 代码 逐渐 变 得 不 一 致 性 。 尽 管 你 打算 记录 需求 和 设计 方面 的 
变更 ， 却 可 能 又 有 一 个 急需 的 修补 在 等 你 完成 。 它 的 优先 权 高 于 文档 记录 。 最 后 ， 最 初 的 变更 被 
遗忘 了 ， 系 统 文档 与 代码 再 也 不 能 一 致 了 。 


移交 修改 的 系统 





图 9-6 紧急 修补 过 程 


紧急 系统 修补 通常 需要 尽 可 能 快 地 完成 。 你 应 当选 择 一 种 快速 的 可 行 方案 ,而 不 是 保证 系 
统 结构 最 好 的 方案 。 这 就 加 速 了 软件 的 老化 过 程 ， 并 使 未 来 的 变更 计划 更 困难 ， 维 护 费 用 上 升 。 

理想 情况 是 ， 在 紧急 代码 修补 完成 之 后 ， 虽 然 代 码 缺 陷 已 经 修复 ， 但 应 该 继续 保持 变更 请 求 
突出 显示 。 这 样 就 可 以 在 在 经 过 深入 的 分 析 后 ， 让 它 得 到 重新 实现 ， 这 一 次 的 实现 将 是 更 加 仔 
细 。 当 然 ， 修 补 代码 可 能 再 次 得 到 利用 。 当 我 们 有 更 多 的 分 析 时 间 的 话 ， 就 有 可 能 找到 此 问题 的 
另 一 个 更 好 解决 方案 。 但 是 实际 上 ， 这 些 变更 的 优先 级 不 可 避免 地 是 较 低 的 。 它 们 通常 被 遗忘， 
并 且 当 执行 完 其 他 系统 变更 之 后 ， 再 重新 做 紧急 修补 几乎 是 不 太 可 能 的 。 

敏捷 方法 和 过 程 ( 在 第 3 章 中 讨论 过 ) 它们 也 许 会 在 程序 进化 和 程序 开发 中 用 到 。 实 际 上 ， 
因为 这 些 方 法 是 基于 增 量 开发 的 ， 将 敏捷 开发 向 交付 后 进化 的 转变 应 当 是 无 颖 衔接 的 。 像 自动 
回归 测试 这 样 的 技术 在 系统 更 改 时 是 有 用 的 。 变 更 可 能 表达 为 用 户 的 故事 脚本 ， 客 户 参与 能 够 
把 运行 系统 中 需要 的 变更 优先 执行 。 总 之 ， 进 化 就 是 简单 地 继续 敏捷 开发 的 过 程 。 

然而 ， 当 一 个 开发 团队 向 另外 一 个 负责 进化 的 团队 交接 时 ， 有 两 种 问题 则 可 能 出 现 ; 

l. 开发 团队 运用 了 敏捷 方法 ， 但 是 进化 团队 却 不 熟悉 敏捷 方法 而 选择 了 一 个 计划 驱动 的 方 
法 。 进 化 团队 可 能 期 望 详 细 的 文档 来 支持 进化 工作 的 进行 ， 而 这 恰恰 是 敏捷 方法 所 没有 提供 的 。 
可 能 没有 关于 系统 的 一 个 明确 的 描述 以 供 变更 时 使 用 。 

2. ， 当 计划 驱动 的 方法 被 用 于 开发 时 ， 而 进化 困 队 选择 使 用 敏捷 方法 。 这 种 情况 下 ， 进 化 团 
队 可 能 不 得 不 从 头 开发 自动 化 的 测试 ， 而 且 不 会 有 像 敏 捷 开 发 过 程 中 所 期 待 的 系统 代码 重 构 和 
简化 。 这 样 ， 在 采用 敏捷 开发 过 程 之 前 ， 可 能 要 求 使 用 一 - 些 再 工程 方法 来 提升 其 代码 质量 。 

Poole 和 Huisman (2001) 的 报告 提供 了 在 使 用 极限 编程 来 维护 最 初 是 使 用 计划 驱动 方法 来 
开发 的 大 型 系统 的 经 验 。 在 对 系统 的 再 工程 以 提升 其 结构 性 之 后 ，Xp 在 维护 过 程 中 使 用 得 非常 
成 功 。 


9.2 程序 进化 的 动态 特性 


程序 进化 的 动态 特性 就 是 对 系统 变更 的 研究 。 开 始 于 20 世纪 70 年 代 和 80 年 代 ，Lehman 和 
Belady (1985) 为 了 理解 更 多 的 软件 进化 特性 ， 进 行 了 一 些 关 于 系统 变更 方面 的 实验 研究 。 这 项 
工作 一 直 进 行 到 20 世纪 90 年 代 初 ，Lehman 和 其 他 人 开始 研究 进化 过 程 中 反馈 的 重要 性 
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(Lehman, 1996; Lehman 等 ，1998 ; Lehman 等 ，2001) 。 经 过 这 些 研 究 ， 他 们 提出 了 关于 系统 变 
更 的 Lehman 定律 ( 见 图 9-7)。 


—————À 
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不 断 增长 的 复杂 性 艇 着 程序 变更 的 发 生 ， 其 结构 逐渐 变 得 更 加 复杂 ， 需 要 有 额外 的 资源 来 保持 和 简化 结构 | 
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保持 亲密 性 在 一 个 系统 的 生命 周期 中 ， 每 个 版 本 的 变更 增 量 都 接近 常数 
系统 提供 的 功能 需要 连续 地 增加 ， 以 保证 用 户 满意 | 
降低 质量 系统 的 质量 将 出 现下 滑 ， 除 非 在 其 运行 环境 中 能 不 断 适 应 变化 


反馈 系统 进化 过 程 结合 多 智能 体 和 多 环 反馈 系统 ， 我 们 必须 把 它 看 成 一 个 反馈 系统 来 取得 效果 显 
著 的 产品 改善 























图 9-7 Lehman 定律 


Lehman 和 Belady 声称 这 些 定 律 很 可 能 对 所 有 类 型 的 大 型 软件 系统 (他们 称 为 下 类 系统 ) 都 
适用 。 需 求 在 这 些 系统 中 的 变化 反映 出 业务 需求 的 变更 。 系 统 的 新 版 本 对 于 系统 提供 的 商业 价 
值 来 说 是 必 不 可 少 的 。 

第 1 条 定律 的 内 容 是 ， 系统 维护 是 一 个 不 可 避免 的 过 程 。 当 系统 的 环境 发 生 改 变 ， 新 的 需求 
就 会 浮现 ， 系 统 就 必须 修改 。 当 修改 后 系统 重新 投 人 使 用 ， 又 会 促进 环境 的 改变 ， 于 是 进化 过 程 
又 开始 了 。 

第 2 条 定律 的 内 容 是 ， 随 着 系统 的 改变 ， 其 结构 在 退化 。 避 免 退 化 发 生 的 唯一 方法 是 在 预防 
性 维护 上 的 投入 ， 在 维护 软件 结构 上 下 工夫 ， 而 不 是 向 系统 中 增加 新 的 功能 。 很 显然 ， 这 样 做 就 
等 于 在 实现 必要 的 系统 变更 成 本 上 又 要 增加 额外 的 开支 。 

第 3 条 定律 可 能 是 Lehman 定律 中 最 有 趣 同时 也 最 有 争议 的 。 它 认为 大 型 系统 自身 的 动态 特 
性 是 在 开发 过 程 的 早期 阶段 建立 的 。 这 决定 了 系统 维护 过 程 的 总 的 趋势 以 及 系统 变更 可 能 次 数 
的 极限 。Lehman 和 Belady 认为 ， 该 定律 是 结构 化 因素 和 机 构 因 素 作用 的 结果 ， 结 构 化 因素 影响 
和 制约 系统 的 变更 ， 机 构 因素 影响 进化 过 程 。 

结构 化 因素 影响 的 第 3 条 定律 来 自 于 大 型 系统 的 复杂 性 。 当 你 更 改 和 扩展 程序 时 ， 系 统 的 结 
构 性 就 会 下 降 。 任 何 类 型 的 系统 (不 仅仅 是 软件 ) 都 是 这 样 ， 当 你 为 了 达到 某 种 目的 改写 一 个 
结构 时 ， 系 统 的 结构 性 就 会 下 降 。 这 种 下 降 ， 如 果 没 有 被 检查 到 ， 会 使 得 以 后 对 程序 的 变动 越 来 
越 困 难 。 做 出 小 的 改动 会 降低 结构 性 ， 同 时 也 会 减少 其 导致 严重 系统 依赖 性 问题 的 风险 。 如 果 你 
试图 做 出 大 的 改动 ， 就 很 可 能 引进 新 的 错误 。 这 些 错误 会 阻碍 进一步 的 程序 变更 。 

“机构 因素 影响 第 3 条 定律 反映 出 大 型 系统 通常 是 由 大 型 机 构 设 计 出 来 的 。 这 些 机 构 的 内 部 管 
理 人 员 负 责 设 定 每 个 系统 的 变更 预算 并 控制 决策 过 程 。 机 构 需要 对 变更 的 价值 和 风险 以 及 其 所 
需要 的 成 本 做 出 决策 。 这 些 决策 通常 很 花 时 间 ， 有 时 甚至 变更 的 决定 比 变更 的 实现 花费 更 长 的 
时 间 。 因 而 系统 的 变更 频 度 是 受 机 构 决策 过 程 的 速度 制约 的 。 

Lehman 的 第 4 条 定律 的 内 容 是 : 绝 大 多 数 大 型 程序 设计 项 目 是 在 一 种 称 之 为 “饱和 ”状态 
下 运作 的 。 这 就 是 说 ， 资 源 和 人 员 上 的 变化 对 系统 长 期 演化 的 影响 是 不 易 察觉 的 。 当 然 ， 在 第 3 - 
条 定律 中 也 提 到 了 这 一 点 ， 在 那里 讲 到 程序 演化 很 大 程度 上 是 独立 于 管理 决策 的 。 这 条 定律 则 
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认为 大 型 软件 开发 团队 通常 是 低 效 的 ， 沟 通 成 为 团队 工作 的 重要 制约 因素 。 

Lehman 的 第 5 条 定律 是 关于 在 每 个 系统 版 本 中 的 变更 增 量 。 向 系统 中 添加 新 功能 不 可 避免 
会 把 新 的 缺陷 引入 到 系统 中 。 在 每 个 版 本 中 增加 的 功能 愈 多 ， 缺 陷 将 会 愈 多 。 因 此 ， 在 一 个 系统 
版 本 中 一 个 大 的 功能 增 量 将 意味 着 后 面 不 得 不 紧 跟 着 一 个 版 本 来 修补 系统 新 引 人 和 人 缺陷 ， 相 对 来 
讲 在 该 版 本 中 新 的 功能 反而 较 少 。 这 个 定律 告诉 我 们 : 在 为 每 个 版 本 中 大 的 功能 增 量 做 预算 时 
应 该 考虑 还 需要 修补 缺陷 。 

前 面 的 5 条 定律 是 Lehman 最 初 的 建议 ， 后 面 的 定律 是 在 以 后 的 工作 中 增加 的 。 第 6 条 和 第 
7 条 定律 很 相似 ， 基 本 的 意思 是 说 : 软件 的 用 户 将 变 得 愈加 的 不 满意 ， 除 非 软件 得 到 维护 并 且 有 
新 功能 加 入 进来 。 最 后 的 定律 反映 了 在 反馈 过 程 上 的 新 近 工作 ， 尽 管 现 在 仍然 不 清楚 怎样 把 它 
应 用 到 实际 的 软件 开发 中 去 。 

Lehman 的 结论 总 的 来 讲 是 符合 实际 的 ， 在 规划 维护 过 程 中 应 该 作为 参考 。 但 在 有 些 情 况 下 ， 
可 能 会 出 于 经 营 上 的 考虑 而 被 忽略 掉 。 举 例 来 说 ， 出 于 市 场 的 原因 ， 可 能 需要 在 一 个 版 本 中 加 进 
多 个 较 大 的 系统 变更 ， 结 果 就 需要 后 续 的 一 个 或 多 个 版 本 专门 用 来 更 正 错误 。 我 们 常常 能 在 个 
人 电脑 软件 中 看 到 这 一 点 ， 紧 紧 跟 随 着 一 个 应 用 的 一 个 较 大 的 新 版 本 的 是 一 个 补丁 更 新 。 


9.3 ”软件 维护 


当 软 件 交 付 后 ， 软 件 维护 就 成 为 软件 变更 的 一 个 常规 过 程 。 变 更 可 以 是 一 种 更 正 代码 错误 
的 简单 变更 ， 可 以 是 更 正 设计 错误 的 较 大 范围 的 变更 ,还 可 以 是 对 描述 错误 进行 修正 或 提供 新 
需求 这 样 的 重大 改进 。 变 更 的 实现 是 修改 已 有 的 系统 组 件 以 及 在 必要 的 地 方 添加 新 组 件 到 系 
统 中 。 

有 3 种 不 同类 型 的 软件 维护 : 

1， 修 补 软件 缺陷 ”通常 改正 代码 错误 费用 相对 较 低 ， 改 正 设计 错误 费用 就 高 得 多 ， 因 为 要 
重 写 很 多 程序 组 件 。 需 求 错误 的 更 正 费 用 更 高 ， 因 为 对 系统 进行 大 量 的 重 设 计 是 必须 的 。 

2. 使 软件 适应 不 同 操作 环境 ”在 系统 环境 的 某 些 方面 发 生 改 变 的 时 候 ， 需 要 进行 这 种 类 型 
的 维护 。 环 境 上 的 改变 包括 硬件 变化 、 操 作 系 统 平台 的 变化 或 其 他 的 支持 软件 发 生变 化 。 为 了 适 
应 这 些 环境 变化 必须 修改 应 用 系统 。 

3 增加 或 修改 系统 功能 “” 当 系统 需求 随 着 机 构 因 素 或 业务 改变 而 变更 的 时 候 ， 这 种 类 型 的 
维护 就 是 必要 的 了 。 这 时 系统 需要 变更 的 范围 通常 要 比 其 他 类 型 的 维护 要 大 得 多 。 

在 实际 过 程 中 ,这些 不 同类 型 的 维护 之 间 没 有 一 个 明确 的 界限 。 在 使 软件 适应 一 个 新 环境 
的 时 候 ， 可 能 需要 增加 新 的 功能 来 充分 利用 环境 提供 的 服务 。 软 件 缺 陷 可 能 是 因为 系统 在 一 种 
未 预料 的 方式 下 使 用 才 得 以 暴露 ， 修 正 这 类 缺陷 的 最 好 方法 是 改变 系统 以 适应 它们 的 工作 方式 。 

尽管 维护 的 不 同类 型 得 到 了 普遍 认可 , 但 有 时 可 能 会 使 用 其 他 不 同 的 分 类 名 称 。 人 们 广泛 
使 用 的 “纠正 性 维护 ”这 个 说 法 是 指 缺 陷 修 补 维护 ; “适应 性 维护 ”有 时 是 指 为 适应 新 环境 所 做 
的 维护 ， 而 有 时 又 是 指 对 新 需求 的 适应 性 维护 ;“ 完 善 性 维护 ”有 时 指 实现 -- 个 新 需求 来 完善 软 
件 ， 而 有 时 又 指 保留 系统 的 功能 但 改善 结构 和 性 能 。 由 于 这 些 名 称 涵 义 的 不 确定 性 ， 本 章 尽 量 如 
免 使 用 这 类 术语 。 

有 一 些 软件 维护 方面 的 研究 ， 它 们 着 眼 于 维护 和 开发 之 间 的 关系 ， 以 及 不 同 维护 活动 之 间 
的 关系 (Krogstie 等 ，2005 ; Lientz 和 Swanson, 1980; Nosek 和 Palvia, 1990; Sousa, 1998), 。 因 
为 术语 用 法 方面 的 不 同 ， 这 些 研究 的 具体 细节 无 法 比较 。 尽 管 改 变 出 现在 技术 上 和 不 同 的 应 用 
领域 ， 可 是 自从 20 世纪 80 年 代 以 来 在 进化 方面 投入 的 百分比 很 少 有 改变 。 

调查 大 多 表明 ， 软 件 维护 成 本 在 信息 科技 预算 中 比 新 的 开发 占据 了 更 高 的 比例 (大约 维 护 
占 到 了 2/3， 开 发 占 1/3)。 调 查 同样 表明 ， 更 多 的 维护 预算 是 用 在 了 实现 新 需求 方面 ， 而 非 修补 
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漏洞 方面 。 图 9-8 表明 了 一 个 大 概 的 维护 工作 量 分 布 。 不 同 机 构 中 的 百分比 会 有 明显 不 同 ， 但 是 
通常 来 说 ， 修 补 系统 错误 不 会 是 维护 活动 的 主要 花费 。 系 统 进 化 过 程 中 要 应 对 新 环境 和 新 提出 
的 或 者 是 变更 的 需求 会 花费 大 部 分 的 维护 工作 量 。 

维护 成 本 与 开发 成 本 的 比例 在 不 同 应 用 领域 中 是 不 同 
的 。Guimaraes (1983) 的 研究 表明 ， 对 于 业务 应 用 系统 ， 
维护 费用 与 系统 开发 成 本 大 体 相等 。 对 于 嵌入 式 实时 系统 ， 
维护 费用 能 达到 开发 成 本 的 四 倍 以 上 。 这 类 系统 的 高 可 靠 
性 和 高 性 能 需求 需要 模块 间 紧 密 连接 ， 因 此 改变 起 来 特别 Duces 功能 添加 
困难 。 尽 管 这 些 估计 已 经 过 去 了 25 年 还 多 的 时 间 , 但 是 不 (\ (8%) 一 和 修改 (655 
同类 型 的 系统 工作 量 的 分 布 方面 似乎 没有 很 大 的 变化 。 

在 设计 和 实现 上 敢于 投资 来 减少 系统 的 维护 费用 总 是 
值得 的 。 在 交付 系统 之 后 再 添加 功能 费用 就 高 了 ， 因 为 需 
要 对 现 有 系统 进行 了 解 并 分 析 系 统 变更 可 能 带 来 的 影响 。 
因此 ， 在 开发 期 间 任何 降低 这 种 分 析 费 用 的 工作 都 会 减少 图 9-8 ”维护 工作 量 分 布 
维护 费用 。 精 确 的 描述 、 面 向 对 象 开 发 的 使 用 和 配置 管理 等 好 的 软件 工程 技术 都 对 维护 费用 降 
低 是 有 益 的 。 

图 9-9 说 明 如 果 在 系统 开发 阶段 多 花 点 儿 工 夫 产 生 一 个 可 维护 的 系统 ， 可 以 使 系统 整个 生命 
周期 成 本 减少 。 因 为 若 开发 时 能 充分 考虑 系统 的 可 维护 性 ， 就 有 在 易 理 解 性 、 分 析 和 测试 方面 降 
低 成 本 的 可 能 性 ， 所 以 会 有 较 高 的 收益 率 。 系 统 1 在 开发 成 本 中 多 投入 25 000 美元 ， 提 高 了 系 
统 的 可 维护 性 ， 结 果 在 整个 生命 周期 中 节省 了 100 000 美元 的 维护 成 本 。 这 表明 在 开发 成 本 上 增 
加 一 个 百分数 ， 在 总 的 生命 周期 成 本 中 会 下 降 相 应 的 百分数 。 
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C] 维护 成 本 
图 9-9 ”开发 和 维护 的 成 本 








人 让 加 系统 


遗留 系统 是 仍 能 够 使 用 的 旧 系 统 ， 有 时 对 于 业务 运行 来 说 至 关 重 要 。 它 们 可 能 使 用 过 时 
的 语言 或 技术 实现 ， 或 者 是 使 用 其 他 昂贵 的 系统 支持 以 致 维护 费用 兄 责 。 通 常 它们 的 结构 性 
由 于 和 更改、 文档 的 丢失 或 者 已 经 过 时 而 降低 。 尽 管 如 此 ， 替 换 掉 这 些 系统 可 能 是 不 合算 的 ， 
因为 它们 可 能 仅 在 一 年 中 的 特定 时 候 才 被 使 用 。 也 有 可 能 替换 掉 它 们 太 过 冒险 ， 因 为 其 需求 
描述 已 经 丢失 了 。 







http: //www. SoftwareEngineering-9. com/Web/ Legacysys/ 


这 些 估计 虽然 是 假设 的 ， 但 是 毫 无 疑问 ， 当 整个 软件 的 生命 成 本 被 计算 进来 的 时 候 ， 开 发 软 
件 使 它 更 具 可 维护 性 是 很 划算 的 。 这 是 敏捷 开发 中 重 构 的 依据 。 没 有 重 构 ， 改 变 代码 会 变 得 越 来 
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越 困 难 和 花费 更 大 的 代价 。 然 而 ， 在 计划 驱动 的 开发 中 ， 实 际 上 额外 的 对 提升 代码 质量 的 投入 在 
开发 过 程 中 是 很 少 做 的 。 这 大 多 取决 于 机 构 怎 样 分 配 它们 的 预算 。 在 可 维护 性 方面 的 投资 会 导 
致 短期 内 的 成 本 上 升 ， 这 是 可 以 度量 的 。 不 幸 的 是 ， 长 期 的 回报 不 能 再 同一 时 间 被 衡量 ， 所 以 公 
司 都 不 情愿 对 一 个 未 知 的 未 来 回报 花 钱 。 

通常 在 系统 投入 使 用 之 后 增加 功能 ， 较 之 在 开发 期 间 实 现 相同 的 功能 代价 要 高 得 多 。 主 要 
原因 如 下 : 

1. 团队 稳定 性 ”系统 移交 之 后 通常 要 解散 团队 ， 把 人 员 分 配 到 其 他 新 项 目 中 。 负 责 系 统 维 
护 的 新 团队 或 个 人 既 不 了 解 该 系统 ， 也 不 了 解 系统 设计 决策 的 背景 ， 这 样 在 对 系统 做 变更 之 前 
就 要 花费 很 多 精力 来 理解 现 有 系统 。 

2. 糟糕 的 开发 实践 ”系统 的 维护 合同 一 般 是 独立 于 系统 开发 合同 的 。 维 护 合同 是 与 另外 的 
公司 签署 的 ， 而 不 是 与 原 开 发 者 签署 的 。 这 个 因素 连同 缺乏 团队 稳定 性 因素 一 起 ， 使 得 开发 团队 
缺乏 动力 去 写 维护 性 好 的 软件 。 如 果 一 个 开发 团队 为 节约 开发 量 有 捷径 可 走 ， 即 使 意味 着 以 后 
软件 的 改动 会 更 加 困难 ， 他 们 也 认为 值得 去 做 。 

3. 人员 技 术 水 平 ”维护 人 员 一 般 都 缺乏 经 验 ， 而 且 不 熟悉 应 用 领域 。 软 件 工 程 人 员 对 维护 
活动 没有 什么 好 印象 ， 道 常 认 为 维护 不 需要 太 多 技术 ， 不 如 做 系统 开发 那么 光彩 ， 所 以 通常 是 分 
配 最 低级 的 职员 去 做 。 此 外 ， 旧 的 系统 可 能 是 用 已 经 淘汰 的 程序 语言 写成 的 ， 维 护 人 员 可 能 没有 
多 少 使 用 这 些 语言 开发 的 经 验 ， 必 须 经 过 学 习 方 能 胜任 维护 工作 。 


Qs 


系统 文档 能 够 对 维护 过 程 有 所 帮助 ， 它 向 维护 人 员 提 供 关于 系统 结构 和 组 织 的 信息 以 及 
向 系统 用 户 提供 相关 特性 。 尽 管 像 XP 这 样 的 敏捷 方法 的 拥护 者 建议 代码 应 该 作为 主要 的 文 
B, 更 高 层次 的 关于 依赖 性 和 约束 的 设计 模型 和 信息 能 够 使 得 其 更 加 容易 被 理解 和 更 容易 对 
代码 进行 政 动 。 

http: //www. SoftwareEngineering-9. com/Web/ExtraChaps/Documentation. pdf 











4. 程序 年 龄 和 结构 ” 随 着 程序 不 断 的 变更 ， 其 结构 受到 了 破坏 。 结 果 是 ， 随 着 程序 年 龄 的 
增加 ， 它 们 变 得 越 来 越 不 容易 理解 和 变更 。 此 外 ， 许 多 遗留 系统 没有 使 用 现代 化 的 软件 工程 技术 
来 开发 。 这 些 系统 的 结构 在 设计 之 初 就 没有 规划 好 ， 而 且 系 统 开发 通常 只 注重 效率 优化 而 很 少 
考虑 其 易 理 解 性 。 这 些 老 系统 的 文档 要 么 没有 要 人 么 就 是 不 完整 ， 还 有 可 能 缺乏 一 致 性 。 介 的 系统 
也 没有 采用 配置 管理 ， 因 此 在 进行 系统 变更 时 ， 常 常 要 在 寻找 系统 组 件 的 合适 版 本 上 浪费 时 间 。 

前 3 个 问题 的 存在 是 因为 很 多 机 构 仍 然 区 分 系统 开发 和 系统 维护 。 维 护 被 视 为 第 二 等 的 活 
动 ， 而 且 没 有 动力 为 减少 系统 变更 开销 而 投资 。 要 想 彻底 解决 这 个 问题 ， 首 先 必须 接受 这 样 一 个 
观点 ， 那 就 是 系统 很 少 有 一 个 确定 的 生存 周期 ， 而 是 以 某 种 形态 在 一 个 不 确定 的 期 限 内 连续 使 
用 。 正 如 前 面 所 说 的 那样 ， 你 应 当 将 系统 看 成 是 贯穿 于 它 生命 周期 的 在 连续 的 开发 过 程 中 不 斯 
进化 的 。 

第 4 个 问题 ， 即 退化 的 系统 结构 问题 ， 在 某 种 程度 上 讲 是 最 容易 解决 的 问题 。 可 以 通过 再 工 
程 技术 来 改善 系统 结构 和 可 理解 性 。 如 果 适 当 的 话 ， 可 以 通过 体系 结构 的 转换 (在 本 章 稍 后 讨 
论 ) 使 系统 适应 新 的 硬件 。 重 构 能 够 提升 系统 代码 的 质量 并 且 可 以 使 之 更 加 容易 修改 。 


9.3.1 维护 预测 
管理 者 民 恨 意外 的 发 生 ， 尤 其 是 那些 造成 了 意 想不到 的 高 成 本 的 意外 。 因 此 你 应 当 试 着 去 


S93: 软件 进化 


预测 有 什么 样 的 系统 变更 和 系统 的 哪些 部 分 可 能 是 最 难 维护 的 。 你 同样 应 当 试 着 去 估计 在 给 定 
时 间 内 的 系统 的 总 维护 成 本 。 图 9-10 说 明了 对 这 些 不 同方 面 的 预测 和 相关 问题 。 
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预测 变更 请 求 的 数目 需要 了 解 系统 和 外 部 环境 之 间 的 关系 。 许 多 系统 与 外 部 环境 之 间 存 在 


着 复杂 的 关系 ， 对 环境 所 做 的 改变 不 可 避免 地 导致 系统 变更 的 发 生 。 要 对 系统 和 系统 的 环境 之 
间 的 关系 做 出 判断 ， 应 该 评估 以 下 几 点 : 

L. 系统 接口 的 数目 和 复杂 性 ”接口 越 多 、 越 复杂 ， 接 口 变 更 请 求 就 越 有 可 能 作为 新 的 需求 
被 提出 来 。 

2. 固有 的 易 变性 系统 需求 的 数目 ”如 第 4 章 所 讨论 的 ， 那 些 反映 机 构 政策 和 流程 的 需求 ， 
比 那些 基于 稳定 领域 特性 的 需求 更 容易 变动 。 

3. 系统 所 处 的 业务 过 程 ”业务 过 程 在 进化 的 时 候 ， 就 会 产生 系统 变更 请 求 。 使 用 系统 的 业 
务 过 程 越 多 ， 要 求 系统 变更 的 请 求 就 会 越 多 。 
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是 最 
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预测 可 维护 性 











该 系统 整个 生命 周期 的 上 
维护 成 本 将 是 多 少 ? 





预测 系统 变更 | 预测 维护 成 本 








该 系统 下 一 年 度 的 
维护 费用 将 是 多 少 ? 






能 够 预测 到 多 少 变 更 | 
请 求 ? ' 


很 多 年 以 来 ， 研 究 人 员 一 直 在 研究 程序 复杂 性 和 可 维护 性 (Banker 4, 1993; Coleman 等 ， 
1994; Kafura 和 Reddy, 1987; Kozlove 等 ，2008) 之 间 的 关系 ， 程 序 的 复杂 性 可 通过 环 路 复杂 度 
这 样 的 量度 衡量 (McCabe，1976) 。 这 些 研究 结 ; 从 都 在 意料 之 中 系统 或 组 件 越 复杂 ， 其 维护 费 
用 就 越 高 。 复 杂 s 性 度量 在 识别 那些 维护 费用 特别 高 的 个 别 程序 组 件 时 特别 有 用 。 Kafura 和 Reddy 
的 研究 《1987) 考查 了 许多 系统 组 件 ， 发 现 维护 工作 量 基 本 集中 在 少数 几 个 复杂 组 件 上 。 因 此 ， 
用 比较 简单 的 组 件 去 代替 特别 复杂 的 系统 组 件 是 划算 的 。 

当 系 统 已 经 投入 服务 的 时 候 ， 可 以 使 用 过 程 数据 来 帮助 预测 可 维护 性 。 对 可 维护 性 评估 有 
用 的 过 程 量度 如 下 : 

1. 请 求 纠 正 性 维护 的 数目 如 果 失 败 报 告 的 数目 在 增加 ， 这 可 能 暗示 着 在 维护 过 程 期 间 有 
更 多 的 错误 引 人 程 序 之 中 了 ， 这 样 可 能 会 导致 系统 可 维护 性 的 下 降 。 

2. 作用 分 析 所 需 的 平均 时 间 它 反映 了 受到 变更 请 求 影响 的 程序 组 件数 有 日。 如果 这 个 时 间 
在 增加 ， 就 暗示 着 越 来 越 多 的 组 件 受 到 影响 ， 可 维护 性 正在 下 降 。 

3. 实现 一 个 变更 请 求 的 平均 时 间 ”这 不 同 于 作用 分 析 的 时 间 ， 尽 管 它们 之 间 可 能 存在 关联 
性 。 它 所 涉及 的 活动 是 对 系统 及 其 文档 进行 变更 ， 而 不 是 只 评估 哪些 组 件 受到 影响 。 变 更 时 间 取 
次 于 程序 设计 的 难 易 ， 因 为 需要 达到 性 能 等 非 功 能 需求 。 如 果实 现 变更 的 时 间 在 增加 ， 这 可 能 预 
示 着 可 维护 性 在 下 降 。 

4. 突出 的 变更 请 求 的 数目 如 果 这 个 数目 随 着 时 间 在 增加 ， 它 可 能 意味 着 可 维护 性 在 下 降 。 


图 9-10 ”维护 预测 
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我 们 根据 变更 请 求 的 预测 信息 和 系统 可 维护 性 的 预测 信息 来 预测 维护 费用 。 多 数 管理 者 是 
将 这 些 信息 和 自己 的 直觉 、 经 验 相 结 合 来 进行 成 本 估计 的 。 成 本 估计 的 COCOMO 2 $A (Boehm 
等 ，2000) 指出 : 软件 维护 工作 量 是 基于 理解 现 有 代码 的 工作 量 和 开发 新 代码 的 工作 量 来 估计 
的 。 详 细 讨 论 见 第 24 章 。 
9. 3.2 软件 再 工程 


正如 在 前 面 章节 讨论 的 ， 系 统 进 化 过 程 包括 去 理解 要 变更 的 程序 ， 然 后 去 实现 这 些 变更 。 但 
是 ,对 于 很 多 系统 ， 特 别 是 遗留 的 老 系统 ， 它 们 是 很 难 理解 和 进行 变更 的 。 这 些 程序 可 能 最 初 牺 
牲 了 一 些 可 理解 性 来 换取 在 性 能 上 或 空间 利用 上 的 改善 ， 另 外 ， 随 着 时 间 的 推移 ， 最 初 的 程序 结 
构 经 过 一 系列 的 变更 后 已 被 破坏 了 。 

为 了 使 得 遗留 系统 的 维护 问题 变 得 更 简单 ， 你 可 以 再 工程 这 些 系统 以 增强 它们 的 结构 性 和 
可 理解 性 。 再 工程 包括 对 系统 重新 建立 文档 、 重 构 系 统 体系 结构 、 用 一 种 更 先进 的 程序 设计 语言 
转换 系统 、 修 改 和 更 新 系统 的 数据 结构 和 系统 的 数据 取 值 。 一 般 来 讲 ， 软 件 的 功能 不 会 改变 ， 也 
应 当 避 免 对 系统 体系 架构 的 大 的 改动 。 

再 工程 相对 于 直接 蔡 换 系统 来 说 ， 有 两 个 重要 的 优势 : 

L 较 小 的 风险 ”对 某 个 关键 业务 软件 的 重新 开发 是 要 冒 很 高 风险 的 。 系 统 描述 中 会 发 生 错 
iR, 而且 开发 过 程 中 也 会 出 现 种 种 问题 。 在 引入 新 软件 上 时 间 的 拖延 将 意味 着 商业 上 的 损失 且 
招致 额外 的 花费 。 

2. 较 小 的 成 本 再 工程 的 成 本 较 之 重新 开发 一 个 软件 的 成 本 来 说 要 小 的 多 。Ulrich (1990) 
引用 了 一 个 商业 系统 作为 例子 ， 该 系统 再 实现 的 成 本 高 达 5000 万 美元 。 最 后 系统 仅 用 1200 万 美 
元 就 成 功 地 实现 了 再 工程 。 如 果 运 用 先进 的 软件 技术 ， 重 新 实现 的 花费 与 上 面 的 相 比 可 能 要 少 ， 
但 是 可 以 肯定 的 是 它 仍然 会 超过 再 工程 的 花费 。 

图 9-11 是 一 个 再 工程 过 程 的 通用 模型 。 过 程 的 输入 是 遗留 的 程序 ， 输 出 是 同一 个 程序 的 一 
个 已 改进 和 重新 构造 的 版 本 。 这 个 再 工程 过 程 中 的 活动 如 下 : 

1， 源 代码 转换 ”使 用 转换 工具 ， 将 程序 从 旧 的 程序 设计 语言 转换 到 相同 语言 的 一 个 比较 新 
的 版 本 或 另 一 种 语言 。 

2. 反 向 工程 对 程序 进行 分 析 并 从 中 抽取 信息 来 记录 它 的 组 织 结构 和 功能 。 这 个 过 程 通常 
是 全 自动 完成 的 。 

3， 程 序 结构 改善 对 程序 的 控制 结构 进行 分 析 和 修改 ， 使 它 更 容易 读 和 理解 。 

4. 程序 模块 化 ”程序 的 相关 部 分 被 收集 在 一 起 ,在 一 定 程 度 上 消除 宛 余 。 在 某 些 情况 下 ， 


模块 化 程序 最 初 的 数据 





图 9-11 再 工程 过 程 
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这 个 阶段 可 能 包括 体系 结构 的 重 构 ( 例 如， 一 个 系统 本 来 使 用 几 个 不 同 的 数据 存储 器 ， 结 果 被 
要 求 使 用 一 个 单独 的 存储 器 ) 。 

5 数据 再 工程 ”改变 程序 处 理 的 数据 以 反映 程序 变更 。 这 可 能 意味 着 重新 定义 数据 库 模式 
和 将 已 存在 的 数据 库 向 新 的 结构 转变 。 你 也 需要 经 常 清理 数据 。 这 包括 查找 和 改正 错误 、 删 除 元 
余 记录 ， 等 等 。 通 过 对 工具 的 使 用 来 支持 数据 再 工程 。 

程序 再 工程 可 能 不 需要 图 9-11 中 的 所 有 步骤 ， 如 果 仍 使 用 应 用 程序 的 编程 语言 ， 源 代码 就 
没有 必要 做 转换 ; 如 果 再 工程 完全 依赖 于 自动 化 工具 ， 那 么 通过 反 向 工程 来 恢复 文档 就 没有 必 
要 了 。 数 据 再 工程 只 有 在 系统 再 工程 期 间 程序 中 数据 结构 发 生 了 改变 时 才 是 需要 的 。 

为 了 使 再 工程 系统 和 新 软件 互 操作 ， 我 们 可 能 需要 开发 适配器 组 件 ， 正 如 第 19 章 所 讨论 的 。 
这 样 就 隐藏 了 软件 系统 的 最 初 的 接口 ， 呈 现 出 新 的 、 较 好 的 结构 化 接口 ， 可 以 被 其 他 组 件 使 用 。 
对 于 开发 大 型 的 可 复 用 组 件 来 说 ， 遗 留 系统 的 封装 是 一 种 很 重要 的 技术 。 

再 工程 的 成 本 很 显然 依赖 于 所 做 的 工作 的 程度 。 图 9-12 给 出 了 再 工程 所 可 能 使 用 方法 的 一 
个 谱系 。 成 本 从 左 到 右 逐 渐 增 长 ， 所 以 源 代码 转换 是 最 便宜 的 选项 ， 而 再 工程 加 上 一 部 分 体系 结 
构 迁 移 是 费用 最 高 的 选项 。 

自动 的 程序 结构 重 构 程序 和 数据 结构 重 构 








se d 





自动 源 代 码 转 换 自动 结构 重 构 辅 之 以 手工 改变 。 结构 重 构 加 上 体系 结构 改变 
增长 的 成 本 
图 9-12 ”再 工程 方法 


软件 再 工程 的 缺点 是 系统 经 过 再 工程 能 改善 的 范围 受到 一 定 的 限制 。 举 例 来 说 ， 它 不 可 能 
把 面向 功能 的 系统 转换 为 面向 对 象 的 系统 ; 主要 体系 结构 的 变更 或 对 系统 数据 管理 的 重新 组 织 
不 能 自动 地 执行 ， 因 此 需要 额外 的 高 成 本 ; 虽然 再 工程 能 改善 可 维护 性 ,但 经 过 再 工程 的 系统 不 
可 能 像 用 现代 软件 工程 方法 开发 的 新 系统 一 样 好 维护 。 


9.3.3 通过 重 构 进行 预防 性 维护 


重 构 是 提升 程序 以 减缓 其 由 于 更 改 而 退化 的 过 程 (Opdyke 和 Johnson，1990) 。 它 意味 着 通 
过 修改 程序 来 改进 程序 结构 性 ， 降 低 程 序 复杂 性 ， 让 程序 变 得 更 加 易于 理解 。 重 构 有 时 被 认为 局 
限于 面向 对 象 的 开发 ， 但 是 其 原理 可 以 被 任何 开发 方法 所 使 用 。 当 重 构 一 个 程序 时 ， 不 应 该 增加 
其 功能 ， 而 应 该 注重 程序 的 改进 。 因 此 ， 可 以 把 重 构 看 成 是 “预防 性 的 维护 ”， 以 此 来 减少 将 来 
修改 产生 的 问题 。 

尽管 再 工程 和 重 构 都 是 要 将 软件 变 得 更 加 容易 理解 和 修改 ,但 它们 并 不 是 同一 回 事 。 再 工 
程 发 生 在 系统 已 经 维护 了 一 段 时 间 并 且 维 护 费 用 不 断 上 升 的 情况 下 。 通 过 使 用 自动 化 工具 来 处 
理 并 再 工程 一 个 遗留 的 系统 ， 产 生 一 个 更 具 可 维护 性 的 新 系统 。 重 构 是 一 个 连续 不 断 的 改进 过 
程 ， 它 贯穿 于 开发 和 进化 的 整个 过 程 。 重 构 是 要 避免 导致 成 本 上 升 和 维护 困难 的 结构 以 及 代码 
的 退化 问题 。 

重 构 是 类 似 于 极限 编程 这 样 的 敏捷 方法 的 一 个 固有 部 分 ， 因 为 这 些 方法 都 是 应 对 程序 变更 
的 。 因 此 ， 程 序 的 质量 容易 退化 得 很 快 。 所 以 敏捷 开发 者 经 常 重 构 它 们 的 程序 来 避免 这 样 的 退 
化 。 对 于 敏捷 方法 中 对 回归 测试 的 强调 ， 降 低 了 由 于 重 构 引 进 新 错误 的 风险 。 引 入 的 任何 错误 都 
会 是 可 检测 的 ， 因 为 之 前 成 功 的 测试 这 时 会 失败 。 然 而 ， 重 构 不 依赖 于 其 他 的 “敏捷 活动 "， 并 


159 


160 . 


第 一 部 分 ”软件 工程 导论 


且 能 够 被 任何 方法 用 于 开发 。 

Fowler 等 (1999) 表示 ， 存 在 一 些 固定 的 情况 〈 他 称 之 为 “ 坏 味道 ") ， 程 序 的 代码 能 够 被 
改进 。 这 些 能 够 通过 重 构 被 改进 的 情况 包括 : 

1. 宛 余 代码 ”在 程序 的 不 同 地 方 相 似 的 代码 可 能 重复 出 现 很 多 次 。 这 种 情况 可 以 通过 删除 
和 用 一 个 方法 或 功能 去 实现 。 

2. 长 方法 ”如果 方法 太 长 了 ， 那 么 这 个 方法 应 当 被 重新 设计 成 几 个 较 短 的 方法 。 

3. 选择 语句 ”这 种 情况 常常 牵扯 到 重复 ， 因 为 选择 语句 switch 依靠 的 是 同一 个 值 的 不 同类 
型 。 选 择 语句 可 能 分 散在 程序 的 各 个 地 方 。 在 面向 对 象 语言 中 ， 常 常 可 以 通过 多 态 性 来 实现 同一 
个 事情 。 

4. 数据 聚集 ” 当 同 样 的 一 组 数据 项 (类 中 的 域 , 方法 中 的 参数 ) 在 程序 的 不 同 地 方 重复 出 
现时 ， 数 据 聚 集 就 出 现 了 。 这 通常 可 以 通过 用 一 个 对 象 封装 所 有 数据 来 解决 。 

5. 假设 的 一 般 性 ”这 种 情况 发 生 在 ， 当 开发 者 为 了 以 后 万 一 使 用 到 在 程序 中 所 包含 的 一 般 
性 。 这 通常 可 以 简单 地 删除 掉 。 

Fowler 在 他 的 书 和 网 站 中 ， 也 给 出 了 一 些 基 本 的 重 构 转换 ， 这 些 重 构 可 以 被 单独 或 一 
起 使 用 来 处 理 坏 味道 。 这 些 转换 的 例子 包括 : Extract 方法 ， 删 掉 重复 的 地 方 并 创建 一 个 新 
方法 ;Consolidate， 合 并 条 件 表达 式 ， 用 一 个 测试 替换 一 系列 测试 ，Pull up 方法 ， 用 父 类 中 
的 一 个 方法 将 各 个 子 类 中 的 类 似 方 法 替换 掉 。 交 互 式 开发 环境 ,例如 Eclipse， 在 它 的 编辑 
器 中 包含 了 对 重 构 的 支持 。 这 样 使 得 发 现 程 序 中 的 相互 依赖 的 部 分 更 为 容易 ， 这 些 部 分 在 
实现 重 构 时 需要 修改 。 

重 构 在 程序 开发 期 间 实 现 ， 是 一 项 有 效 的 降低 程序 长 期 维护 成 本 的 途径 。 然 而 ， 当 你 
需要 维护 一 个 其 结构 已 经 明显 退化 的 程序 时 ,仅仅 通过 重 构 代码 是 远 远 不 够 的 。 你 可 能 还 
要 考虑 设计 的 重 构 ， 这 可 能 是 一 个 花费 更 高 和 更 加 困难 的 问题 。 设 计 重 构 包 括 识 别 相关 设 
计 模 式 〈 详 见 第 7 章 ) 和 用 实现 这 些 实际 模式 的 代码 替换 原先 的 代码 ( Kerievsky, 2004), 
这 里 不 做 详细 讨论 。 


9.4 遗留 系统 管理 


对 于 那些 新 系统 ， 那 些 用 像 增 量 开发 和 CBSE 这 样 的 先进 的 软件 工程 过 程 来 开发 的 新 软件 系 
统 来 说 ， 就 可 以 规划 如 何 把 系统 开发 和 进化 很 好 地 结合 在 一 起 。 越 来 越 多 的 公司 开始 认识 到 系 
统 开发 过 程 是 一 个 全 生命 周期 的 过 程 ， 人 为 地 分 离 软 件 开发 和 软件 维护 是 没有 好 处 的 。 但 是 , 仍 
然 存在 许多 遗留 系统 ， 它 们 是 十 分 重要 的 业务 系统 。 我 们 必须 扩展 和 调整 它们 以 适应 变化 中 的 
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大 多 数 机 构 拥有 很 多 遗留 系统 ， 对 这 些 遗 留 系统 的 维护 和 更 新 资金 又 非常 有 限 ， 这 时 候 就 
需要 对 投资 做 精心 的 安排 ， 以 期 获得 最 佳 的 回报 。 这 就 要 求 机 构 先 对 遗留 系统 做 现实 的 评估 ， 然 
后 做 出 适当 的 决策 ， 有 以 下 4 种 基本 选择 : 

1. 彻底 抛弃 这 个 系统 “” 当 系 统 不 能 对 业务 过 程 产生 有 效 的 作用 时 ， 应 该 选择 这 个 方案 。 这 
种 情况 一 般 发 生 在 系统 安装 之 后 ， 业 务 过 程 已 经 改变 ， 新 的 业务 过 程 不 再 依赖 于 遗留 系统 。 

2. 继续 维护 这 个 系统 ” 当 一 个 系统 仍然 有 存在 的 必要 ， 系 统 运行 相当 平稳 ， 而 且 用 户 没有 
提出 太 多 对 系统 变更 的 要 求 时 ， 应 该 选择 这 个 方案 。 

3. 对 系统 再 工程 以 改善 其 可 维护 性 ” 当 系 统 质量 由 于 经 常 性 的 变更 已 经 下 降 ， 而 且 仍 然 需 
要 做 经 常 性 的 变更 时 ， 应 该 选择 这 个 方案 。 这 个 过 程 应 当 包括 开发 新 的 组 件 接口 ， 从 而 使 最 初 的 
系统 能 和 其 他 的 新 系统 协同 工作 。 

4. 以 一 个 新 的 系统 代替 整个 或 部 分 系统 ” 当 其 他 因素 (如 新 的 硬件 已 经 使 旧 系 统 无 法 继续 
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运行 ， 或 者 有 现成 的 产品 可 以 使 用 ) 使 新 系统 的 开发 成 本 非常 合理 时 ， 就 应 做 出 此 种 选择 。 在 
很 多 情况 下 ， 我 们 可 以 采用 进化 蔡 换 策略 ， 用 现 有 的 系统 蔡 换 主要 的 系统 组 件 ， 并 且 在 可 能 的 情 


况 下 继续 使 用 其 他 组 件 。 
当然 这 些 选 择 不 是 互 斥 的 ， 当 一 个 系统 包含 多 个 程序 时 ， 可 以 根据 系统 各 个 部 分 的 实际 情 
况 酌 情 做 出 不 同 的 选择 。 


在 评估 一 个 遗留 系统 的 时 候 ， 必 须 从 两 个 不 同 的 视点 来 看 它 (Warren，1998) 。 从 业务 视点 
看 ， 必 须 对 该 系统 的 业务 价值 做 出 评估 。 从 系统 视点 看 ， 必 须 对 应 用 软件 、 系 统 支 持 软件 和 硬件 
质量 做 出 评 佑 。 根 据 这 两 个 方面 得 到 的 评估 结果 就 能 决定 应 该 对 遗留 系统 采取 何 种 策略 了 。 

例如 , 我 们 假设 某 机 构 有 10 个 遗留 系统 。 首 先 评估 每 个 系统 的 质量 和 业务 价值 ， 然 后 画 在 
一 张 图 中 ， 比 较 系 统 在 这 两 方面 的 相对 水 平 ， 如 图 9-13 所 示 。 
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图 9-13 遗留 系统 评估 的 一 个 例子 


从 图 9-13 中 可 以 看 出 系统 的 4 组 分 布 . 

1. 低 质量 、 低 业务 价值 保持 这 些 系 统 继续 运转 资 用 很 高 、 回报 率 很 低 。 这 类 系统 是 抛弃 
的 候选 对 象 。 

2. 低 质量 、 高 业务 价值 这 些 系统 正在 为 业务 做 出 重要 贡献 ， 不 能 抛弃 。 不 过 ， 其 低 质量 
意味 着 运行 的 成 本 很 高 ， 所 以 这 类 系统 有 待 于 转换 或 者 以 合适 的 系统 蔡 代 。 

3. 高 质量 、 低 业务 价值 ”这些 系统 对 业务 的 贡献 很 小 ， 但 是 维护 费用 较 低 。 不 值得 冒险 去 
替换 这 种 系统 ， 可 以 继续 进行 一 般 的 系统 维护 ， 也 可 以 抛弃 。 

4. 高 质量 、 高 业务 价值 ”这 种 系统 必须 保持 运转 ， 其 高 质量 说 明 无 需 对 其 投资 进行 转换 或 
更 换 。 正 常 的 系统 维护 应 该 继续 进行 。 . 

为 了 评估 一 个 系统 的 业务 价值 ， 我 们 必须 看 做 是 系统 的 所 有 者 ， 比 如 最 终 用 户 和 他 们 的 经 
理 ， 对 系统 提出 一 系列 的 问题 。 要 讨论 的 是 以 下 4 个 方面 的 问题 : 

1. 系统 的 使 用 如果 系 统 只 是 偶尔 被 使 用 或 被 很 少 一 部 分 人 使 用 ， 那 么 它们 含有 较 低 的 业 
务 价 值 。 遗 留 系统 可 能 是 为 满足 某 些 业务 需要 而 开发 的 ， 但 现在 业务 改变 了 ， 或 者 有 其 他 更 有 效 
的 方法 满足 要 求 。 然 而 ， 一 定 要 注意 不 经 常 的 但 重要 的 系统 使 用 。 例 如 ， 在 大 学 里 ， 一 个 学 生 的 
注册 系统 可 能 仅 是 在 每 学 年 的 开始 时 才 使 用 。 但 是 ， 它 却 是 具有 高 业务 价值 的 必 不 可 少 的 系统 。 

2. 支持 的 业务 流程 ” 当 引 入 一 个 系统 时 ， 我 们 就 要 设计 业务 流程 来 开发 系统 的 能 力 。 如 果 
遗留 系统 难以 改变 ， 那么 改变 这 些 业 务 流程 就 是 不 可 能 的 。 但 是 ， 当 环境 变化 时 ， 原 来 的 业务 流 
程 已 经 变 得 不 可 用 。 因 而 ， 由 于 不 能 引入 新 的 流程 ， 而 可 能 使 一 个 系统 的 业务 价值 降低 。 

3. 系统 的 可 靠 性 系统 可 靠 性 不 仅仅 是 一 个 技术 问题 ， 也 是 一 个 业务 问题 。 如 果 系 统 不 可 
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靠 ， 而 且 问 题 直 接 影 响 商业 用 户 ， 或 者 让 业务 处 理 中 的 人 从 别 的 业务 转 过 来 解决 这 些 问 题 ， 那 么 
系统 的 业务 价值 较 低 。 

4. 系统 的 输出 ”这 里 的 关键 是 系统 输出 对 于 成 功 的 业务 功能 的 重要 性 。 如 果 业 务 依赖 于 这 
些 输 出 ， 那 么 系统 就 含有 高 的 业务 价值 。 相 反 地 ， 如 果 这 些 输出 可 以 用 某 种 方法 很 容易 地 产生 ， 
或 者 系统 产生 的 输出 很 少 被 使 用 ， 那 么 它 的 业务 价值 就 很 低 。 

例如 ， 我 们 假设 有 一 家 公司 提供 一 个 旅行 预定 系统 ， 负 责 安排 旅行 的 人 员 可 以 通过 此 系统 
向 认可 的 旅行 代理 人 发 出 订单 ， 该 公司 然后 得 到 预订 凭证 和 发 票 。 但 是 ， 业 务 价值 评估 可 能 显示 
在 总 的 旅行 订单 中 只 有 相当 小 的 一 部 分 使 用 了 此 系统 。 负 责 旅行 安排 的 人 们 发 现 ， 通 过 旅行 提 
供 商 的 网 站 直接 与 它们 联系 更 便宜 也 更 方便 。 这 个 系统 还 将 继续 使 用 ， 但 是 保留 这 个 系统 没有 
什么 太 大 的 意义 。 可 以 从 外 部 系统 得 到 相同 的 功能 。 

相反 ， 如 果 一 个 公司 开发 了 一 个 用 来 跟踪 所 有 客户 以 前 的 订单 记录 并 能 自动 生成 提醒 客户 
续 订 货物 的 系统 。 其 结果 是 有 大 量 的 续 订 订单 ， 而 且 使 得 客户 倍 感 满意 ， 因 为 他 们 感到 提供 商 了 
解 他 们 的 需要 。 这 样 的 系统 的 输出 对 于 业务 来 说 是 非常 重要 的 ， 因 此 该 系统 有 很 高 的 业务 价值 。 

若 从 技术 的 角度 来 评估 软件 系统 ， 你 要 考虑 应 用 系统 自身 和 系统 的 运行 环境 。 运 行 环境 包 
括 硬 件 和 相关 的 支持 软件 〈 编 译 器 、 开 发 环境 等 ) 。 环 境 很 重要 ， 是 因为 很 多 系统 变更 是 环境 改 
变 的 结果 ， 如 硬件 或 操作 系统 的 升级 。 

如 果 可 能 的 话 ， 在 对 环境 评估 的 过 程 中 ， 应 该 给 出 系统 的 度量 和 系统 的 维护 过 程 。 有 用 数据 
的 例子 包括 维护 系统 硬件 和 支持 软件 的 花费 ， 在 某 个 确定 时 间 内 的 硬件 缺陷 发 生 的 次 数 ， 对 系 
统 支持 软件 打 补丁 和 修改 发 生 的 频 度 等 。 

在 环境 评估 中 需要 考虑 的 因素 如 图 9-14 所 示 。 注 意 这 些 因素 并 不 是 环境 的 所 有 技术 特性 ， 
还 要 考虑 硬件 和 支持 软件 提供 高 的 可 依赖 性 。 如 果 这 些 提供 商 不 再 从 事 此 项 业务 ， 他 们 就 不 会 
再 提供 对 系统 维护 的 支持 。 














供应 商 是 否 还 存在 ? 供应 商 在 经 济 上 是 否 稳定 ， 是 否 能 继续 存活 ? 如 果 供应 商 已 经 退 
出 经 营 ， 系 统 是 由 其 他 公司 维护 的 吗 


失败 率 ”系统 是 否 据 传说 有 很 高 的 失败 率 9 其 支持 软件 是 否 会 朋 省 并 必须 重启 系统 
年 限 











硬件 和 软件 的 年 限 有 多 长 ? 硬件 和 支持 软件 越 老 ， 就 越 容易 被 上 废弃。 虽然 它 还 能 正确 
地 工作 ， 但 是 转移 到 新 系统 将 是 相当 经 济 和 有 效益 


























pes 系统 的 性 能 充分 吗 ? 性 能 问题 对 系统 用 户 有 严重 影响 码 
erm 硬件 和 软件 需要 哪些 局 部 支持 如 果 这 样 的 支持 是 需要 高 成 本 的 ， 这 时 可 能 就 值得 考 
: 虑 做 系统 替换 了 
"m 硬件 维护 和 软件 许可 的 成 本 有 多 少 ? 越 老 的 硬件 相 比 现代 系统 的 维护 成 本 就 会 越 高 
: 软件 会 有 较 高 的 年 许可 成 本 
mM 系统 在 与 其 他 系统 接口 方面 有 困难 吗 ?编译 器 等 能 在 目前 的 操作 系统 版 本 上 使 用 吗 ? 
需要 硬件 仿真 吗 





图 9-14 环境 评估 中 考虑 的 因素 


为 了 评估 应 用 系统 的 技术 质量 ， 我 们 要 评估 一 系列 因素 (IE 9-15) ， 这 些 因素 主要 有 关于 
系统 的 可 靠 性 、 维 护 系统 的 困难 以 及 系统 的 文档 建立 。 我 们 还 要 收集 量化 的 系统 数据 来 帮助 我 
们 对 系统 质量 做 出 判断 。 质 量 评估 中 可 能 用 到 的 数据 有 : 

1. 请 求 系统 变更 的 数目 ”系统 变更 容易 造成 系统 结构 的 损坏 ， 为 进一步 变更 增加 了 难度 。 
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这 个 数值 愈 高 ， 系 统 的 质量 也 愈 低 。 
2， 用 户 界 面 数目 这 对 于 基于 表格 的 系统 来 说 是 一 个 重要 的 因素 。 在 这 种 系统 中 ,每 一 张 
表格 都 可 以 看 做 一 个 独立 的 用 户 界面 。 界 面 的 数目 越 多 ， 越 容易 发 生 界 面 的 不 一 致 性 和 砚 余 性 。 
3 系统 使 用 的 数据 量 ”使 用 的 数据 量 (文件 的 数目 、 数 据 库 的 规模 等 ) 越 大 ， 就 越 有 可 能 
出 现 降 低 系 统 质 量 的 数据 不 一 致 性 。 


a m 


对 当前 系统 的 源 代码 理解 的 困难 程度 如 何 ? 其 使 用 的 控制 结构 复杂 程度 如 何 ? 变量 有 
反映 其 功能 的 有 意义 的 名 字 吗 


哪些 系统 文档 是 有 效 的 ? 文档 是 否 健全 、 是 否 一 致 以 及 是 否 反 映 了 当前 的 现状 


系统 有 一 个 清晰 的 数据 模型 吗 ? 数据 在 多 大 程度 上 在 不 同文 件 间 是 重复 的 ? 系统 使 用 
的 数据 是 一 致 的 和 最 新 的 吗 








系统 所 有 版 本 和 所 有 部 分 都 受到 配置 管理 系统 的 管理 吗 ? 对 当前 系统 中 的 组 件 的 版 本 
都 有 清晰 的 描述 吗 


对 系统 的 测试 数据 存在 吗 ” 当 有 新 特征 加 入 到 系统 中 来 时 所 执行 的 回归 测试 有 记录 吗 
个 人 技能 能 得 到 优秀 技术 人 员 来 维护 应 用 吗 ?是 否 只 有 有 限 几 个 人 员 了 解 系统 

















图 9-15 应 用 评估 中 使 用 的 因素 


理论 上 说 ,应 该 根据 客观 的 评估 结果 做 出 处 理 遗 留 系 统 的 决定 。 然 而 在 许多 情况 下 ， 做 出 的 
决定 并 不 是 客观 的 ， 而 是 基于 机 构 或 政治 上 的 考虑 。 举 例 来 说 ， 如 果 两 个 机 构 合并 ， 其 中 一 个 机 
构 在 政治 上 地 位 显赫 ， 它 的 系统 就 会 被 保留 下 来 ， 另 一 个 机 构 的 系统 显然 被 丢弃 。 如 果 高 层 管理 
者 做 出 向 新 硬件 平台 迁移 的 决定 ， 那 么 应 用 就 需要 被 替换 。 如 果 在 某 一 特定 的 年 度 内 没有 用 于 
系统 转换 的 预算 ， 那 么 系统 维护 还 要 继续 下 去 ， 尽 管 这 将 带 来 较 高 的 长 期 成 本 。 


要 点 


n 软件 开发 与 进化 应 当 是 一 个 集成 的 、 完 整 的 、 增 量 式 的 过 程 ， 它 可 以 用 螺旋 模型 表示 。 

,到 对 于 定制 系统 来 说 ， 软 件 维护 的 费用 一 般 超 过 了 软件 开发 的 费用 。 

m 软件 进化 过 程 是 由 变更 请 求 驱动 的 ， 包 括 变更 影响 分 析 、 版 本 规划 和 变更 实现 。 

m Lehman 定律 ， 例 如 变更 是 持续 的 观点 ， 描 述 了 许多 来 自 于 系统 进化 长 期 研究 的 领悟。 

n 软件 维护 有 3 种 基本 类 型 :修改 软件 中 的 缺陷 ， 使 软件 适应 不 同 操作 环境 ， 以 及 向 系统 中 
添加 或 修改 功能 。 

m 软件 再 工程 的 目标 在 于 改善 系统 结构 和 文档 ， 使 其 更 容易 理解 和 变更 。 

m 应 该 对 遗留 系统 的 业务 价值 、 应 用 软件 的 质量 以 及 应 用 软件 的 环境 进行 评估 ， 然 后 才能 决 
定 是 否 更 换 、 转 换 和 维护 系统 。 


进一步 阅读 材料 
(Software Maintenance and Evolution; A Roadmap》， 这 篇 文章 是 一 个 此 方面 的 前 沿 研究 人 员 关 
于 软件 维护 和 进化 的 好 而 简短 的 概述 。 他 们 所 认定 的 研究 问题 到 目前 为 止 还 没有 得 到 解决 


(V. Rajlich and K. H. Bennett, Proc. 20" Int. Conf. on Software Engineering, IEEE Press, 2000), 
http; //doi. acm. org/10. 1145/336512. 336534. 
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(Modernizing Legacy Systems; Software Technologies, Engineering Processes, and Business Prac- 


tices》， 这 本 杰出 的 著作 涵盖 了 软件 维护 与 进化 的 基本 问题 ， 也 包括 遗留 系统 的 迁移 。 此 书 以 一 
个 从 COBOL 系统 转换 到 基于 Java 的 客户 机 - 服务 器 系统 的 大 型 案例 为 基础 (R. C. Seacord, 
D. Plakosh and C. A. Lewis, Addison-Wesley, 2003), 


(Working Effectively with Legacy Code》， 关 于 处 理 遗 留 系统 遇 到 的 问题 和 困难 的 可 靠 实 用 的 


建议 (M. Feathers, John Wiley&Sons, 2004), 


练习 

9.1 在 现实 环境 中 使 用 着 的 软件 系统 必须 进行 变更 ， 否 则 就 会 逐渐 失去 其 效用 。 这 是 为 什么 ? 试 解释 之 。 

9.2 试 解释 Lehman 定律 的 基本 原理 ， 并 说 明 在 什么 情况 下 该 定律 不 再 适用 。 

9.3 从 图 9-4 中 ， 你 会 发 现 影响 分 析 是 软件 进化 过 程 中 的 一 个 重要 子 过 程 。 利 用 图 示 ， 请 问 哪 些 特性 需要 
在 变更 影响 分 析 中 考虑 ? 

9.4 ”假设 你 是 一 家 专业 开发 海洋 石油 工业 软件 的 软件 公司 的 一 名 项 目 负责 人 ， 现在 你 的 任务 是 要 找 出 哪些 
因素 影响 你 公司 开发 的 特定 系统 的 可 维护 性 。 说 明 你 将 如 何 确定 一 个 计划 来 分 析 维 护 过 程 ， 从 中 发 现 
适合 公司 的 可 维护 性 度量 。 

9.5 简要 描述 3 种 不 同类 型 的 软件 维护 。 为 什么 有 时 候 很 难 区 分 它们 ? 

9.6 哪些 是 在 系统 再 工程 花费 中 需要 考虑 的 主要 因素 ? 

9.7 如果 遗留 系统 的 评估 结果 表明 该 系统 属于 高 质量 、 高 业务 价值 ， 那 么 在 什么 情况 下 这 个 机 构 却 决定 抛 
弃 这 个 系统 ? 

9.8 ”对 遗留 系统 进化 的 策略 选择 是 什么 ? 什么 时 候 你 通常 会 替换 整个 或 部 分 系统 而 不 是 继续 进行 软件 
维护 ? 

9.9 解释 为 什么 在 支持 软件 上 出 现 的 问题 会 使 机 构 不 得 不 替换 遗留 系统 ? 


9.10 在 老板 没有 明确 要 求 的 情况 下 ， 软 件 工程 师 有 无 职业 责任 来 生成 可 维护 性 代码 ? 
参考 书目 


Arthur, L. J. (1988). Software Evolution. New York: John Wiley & Sons. 


Banker, R. D., Datar, S. M., Kemerer, C. F. and Zweig, D. (1993). 'Software Complexity and 
Maintenance Costs’. Comm. ACM, 36 (11), 81-94. 

Boehm, B. W., Abts, C., Brown, A. W., Chulani, S., Clark, B. K., Horowitz, E., Madachy, R., Reifer, D. and 
Steece, B. (2000). Software Cost Estimation with COCOMO II. Upper Saddle River, NJ: Prentice Hall. 
Coleman, D., Ash, D., Lowther, B. and Oman, P. (1994). 'Using Metrics to Evaluate Software System 
Maintainability'. IEEE Computer, 27 (8), 44-49. ` 

Erlikh, L. (2000). ‘Leveraging legacy system dollars for E-business’. /T Professional, 2 (3), 
May/June 2000, 17-23. 

Fowler, M., Beck, K., Brant, J., Opdyke, W. and Roberts, D. (1999). Refactoring: Improving the 
Design of Existing Code. Boston: Addison-Wesley. 

Guimaraes, T. (1983). 'Managing Application Program Maintenance Expenditures'. Comm. ACM, 
26 (10), 739-46. 

Hopkins, R. and Jenkins, K. (2008). Eating the IT Elephant: Moving from Greenfield Development 
to Brownfield. Boston: IBM Press. 

Kafura, D. and Reddy, G. R. (1987). 'The use of software complexity metrics in software 
maintenance’. JEEE Trans. on Software Engineering, SE-13 (3), 335-43. 


Kerievsky, J. (2004). Refactoring to Patterns. Boston: Addison Wesley. 


第 9 章 软件 进化 。 


Kozlov, D., Koskinen, }., Sakkinen, M. and Markkula, J. (2008). ‘Assessing maintainability change 
over multiple software releases’. J. of Software Maintenance and Evolution, 20 (1), 31-58. 


Krogstie, J., Jahr, A. and Sjoberg, D. I. K. (2005). ‘A longitudinal study of development and 
maintenance in Norway: Report from the 2003 investigation’. Information and Software 
Technology, 48 (11), 993-1005. 


Lehman, M. M. (1996). ‘Laws of Software Evolution Revisited’. Proc. European Workshop on 
Software Process Technology (EWSPT'96), Springer-Verlag. 108-24. 


Lehman, M. M. and Belady, L. (1985). Program Evolution: Processes of Software Change. London: 
Academic Press. 


Lehman, M. M., Perry, D. E. and Ramil, J. F. (1998). ‘On Evidence Supporting the FEAST Hypothesis 
and the Laws of Software Evolution’. Proc. Metrics ‘98, Bethesda. Maryland: IEEE Computer 
Society Press. 84-8. 


Lehman, M. M., Ramil, }. F. and Sandler, U. (2001). ‘An Approach to Modelling Long-term Growth 
Trends in Software Systems’. Proc. Int. Conf. on Software Maintenance, Florence, Italy: 219-28. 


Lientz, B. P. and Swanson, E. B. (1980). Software Maintenance Management. Reading, Mass.: 
Addison-Wesley. 


McCabe, T. J. (1976). ‘A complexity measure’. IEEE Trans. on Software Engineering., SE-2 (4), 
308-20. 


Nosek, J. T. and Palvia, P. (1990). ‘Software maintenance management: changes in the last 
decade'. Software Maintenance: Research and Practice, 2 (3), 157-74. 


Opdyke, W. F. and Johnson, R. E. (1990). ‘Refactoring: An Aid in Designing Application Frameworks 
and Evoiving Object-Oriented Systems’. 1990 Symposium on Object-Oriented Programming 
Emphasizing Practical Applications (SOOPPA *90), Poughkeepsie, New York. 


Poole, C. and Huisman, J. W. (2001). ‘Using Extreme Programming in a Maintenance Environment’. 
IEEE Software, 18 (6), 42-50. 


Rajlich, V. T. and Bennett, K. H. (2000). ‘A Staged Model for the Software Life Cycle’. IEEE 
Computer, 33 (7), 66-71. 


Sousa, M. J. (1998). ‘A Survey on the Software Maintenance Process’. 14th IEEE International 
Conference on Software Maintenance (ICSM '98), Washington, D.C.: 265-74. 


Ulrich, W. M. (1990). ‘The Evolutionary Growth of Software Reengineering and the Decade Ahead’. 


American Programmer, 3 (10), 14-20. 


Warren, I. E. (1998). The Renaissance of Legacy Systems. London: Springer. 


165 


| 第 二 部 分 


Software Engineering, 9E 


可 依赖 性 和 信息 安全 性 





随 着 软件 系统 在 规模 和 复杂 度 方面 不 断 增长 ， 当 前 我 们 所 面临 的 软件 工 
程 的 最 为 严重 的 挑战 是 确保 我 们 能 相信 这 些 系 统 。 为 了 信任 这 些 系统 ， 我 们 必 
须要 保证 它 在 需要 使 用 时 是 可 用 的 ， 且 能 按 预期 的 那样 运行 。 它 必须 是 安全 
的 ,我 们 的 计算 机 或 数据 不 会 受到 它 的 威胁 。 这 意味 着 系统 的 可 依赖 性 和 信息 
安全 性 问题 通常 比 系统 的 功能 细节 更 为 重要 。 本 书 这 部 分 为 此 要 向 学 生 和 从 事 
软件 工程 的 工程 技术 人 员 介 绍 关于 可 依赖 性 和 信息 安全 性 这 个 重要 话题 。 

第 10 章 涵盖 社会 技术 系统 ， 虽 然 表 面 上 看 社会 技术 系统 与 软件 的 可 依 
赖 性 和 信息 安全 性 没有 太 大 关系 ， 然而， 很 多 信息 安全 性 和 可 依赖 性 失败 源 
自 人 和 机 构 原 因 ， 而 我 们 车 要 考虑 可 依赖 性 和 信息 安全 性 的 话 就 不 能 忽视 这 
些 方面 。 软 件 工程 师 必 须 意 识 到 这 一 点 ， 不 应 幻想 会 有 更 好 的 技术 和 手段 能 
确保 我 们 的 系统 是 完全 可 依赖 的 和 信息 安全 的 。 

第 11 章 介绍 可 依赖 性 和 信息 安全 性 的 基本 概念 ， 并 解释 在 构建 可 依赖 
系统 时 所 采用 的 避免 、 检 测 和 恢复 策略 的 基本 原理 。 第 12 章 是 对 第 4 章 的 
补充 ， 主 要 讲解 需求 工程 ， 以 及 关于 导出 和 定义 系统 的 信息 安全 和 可 依赖 性 
需求 的 一 些 专门 方法 。 此 外 ， 还 简要 介绍 形式 化 描述 的 使 用 ， 其 他 相关 内 容 
则 可 以 从 本 书 网 站 上 获得 。 

第 13 章 和 第 14 章 是 关于 开发 可 依赖 和 信息 安全 系统 时 的 软件 工程 技 
术 ， 分 别 阐述 可 依赖 性 工程 和 信息 安全 工程 。 但 是 它们 是 有 很 多 共性 的 ， 不 
仅 讨 论 软 件 体系 结构 的 重要 性 并 且 展 现 了 帮助 获得 可 依赖 性 和 信息 安全 性 的 
设计 准则 和 编程 技术 ， 也 解释 为 什么 使 用 宛 余 和 多 样 性 来 应 对 失败 和 外 部 攻 
击 是 很 重要 的 ， 介 绍 日 趋 重 要 的 软件 生存 能 力 和 恢复 能 力 的 话题 ， 它 们 允许 
系统 在 信息 安全 性 受到 威胁 的 时 候 依然 提供 必要 的 服务 。 

BUA, BIS 章 关注 的 是 可 依赖 性 和 信息 安全 性 保障 ， 解 释 系统 静态 分 
析 和 模型 检测 在 系统 检验 和 缺陷 检测 方面 的 使 用 。 这 些 技 术 都 成 功 地 应 用 在 
要 求 极 高 的 系统 工程 中 。 此 外 ， 还 阐述 了 测试 系统 可 靠 性 和 信息 安全 性 的 特 
殊 方法 ， 并 解释 了 为 什么 一 个 可 依赖 性 案例 对 于 说 服 外 部 的 监管 者 证 明 所 构 
建 的 系统 安全 和 信息 安全 是 必要 的 。 


第 10 2X | 


Software Engineering, 9E 


社会 技术 系统 





目标 

本 章 的 目标 是 介绍 社会 技术 系统 的 概念 ， 即 一 个 包含 有 人 、 软 件 和 硬件 在 内 的 系统 ， 并 说 明 
你 需要 从 系统 角度 考虑 信息 安全 性 和 可 靠 性 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 

m 掌握 社会 技术 系统 的 含义 ， 了 解 基于 计算 机 的 纯 技术 性 系统 和 社会 技术 系统 两 者 之 间 的 

区 别 ; 

w 介绍 系统 总 体 特性 的 概念 ， 例 如 可 靠 性 、 性 能 、 安 全 性 和 信息 安全 性 等 ; 

a 掌握 获取 、 开 发 和 运行 这 些 包含 在 系统 的 工程 过 程 中 的 活动 ; 

m 了解 软件 可 靠 性 和 信息 安全 性 不 能 孤立 考虑 的 原因 ， 以 及 它们 如 何 受 到 系统 因素 ( 如 操作 

员 错 误 ) 的 影响 。 

在 计算 机 系统 中 ， 软 件 和 硬件 是 相互 依赖 的 。 没 有 硬件 ， 软 件 系 统 就 是 抽象 的 ， 它 仅仅 是 人 
的 知识 与 理念 的 一 种 表示 。 没 有 软件 ,硬件 只 不 过 是 一 套 没 活力 的 电子 设备 。 但 是 ， 如 果 你 将 二 
者 放 到 一 起 构成 一 个 系统 ， 你 就 创造 了 一 个 可 以 进行 复杂 计算 并 给 环境 提供 结果 的 机 器 。 

这 说 明了 系统 的 基本 特性 之 一 一 一 系统 ， 大 于 其 各 部 分 相 加 之 和 。 系 统 的 一 些 特性 只 有 在 
各 部 分 集成 并 在 一 起 运行 时 才 会 展现 出 来 。 因 此 软件 工程 不 是 一 个 孤立 的 活动 ， 而 是 一 个 更 一 
般 的 系统 工程 过 程 中 的 固有 组 成 部 分 。 软 件 系统 不 是 独立 的 系统 ， 更 多 的 是 含有 人 、 社 会 或 机 构 
目的 更 广泛 系统 的 基本 成 分 。 

例如 ， 野 外 气象 系统 软件 控制 一 个 气象 站 里 的 工具 。 它 与 其 他 软件 系统 通信 ， 并 且 是 国内 及 
国际 气象 预报 系统 的 一 部 分 。 和 软 硬 件 一 样 ， 这 些 系统 包括 天 气 预报 过 程 、 操 作 系统 及 分 析 结 果 
的 人 员 。 系 统 还 包括 依靠 它 向 个 人 、 政 府 、 企 业 等 提供 天 气 预 报 的 机 构 。 这 类 更 广泛 的 系统 有 时 
也 被 称 做 社会 技术 系统 。 他 们 同时 包含 了 非 技术 因素 ， 如 人 、 流 程 、 规 章 等 ， 以 及 技术 因素 ， 如 
计算 机 、 软 件 和 其 他 设备 。 


社会 技术 系统 十 分 复杂 ， 很 难 将 它 当 成 一 个 整体 理 
解 。 更 恰当 的 方法 是 将 他 们 层次 化 ， 如 图 10-1 所 示 。 这 
些 层次 组 成 了 社会 技术 系统 栈 : 
1. 设备 层 ”这 一 层 由 硬件 设备 组 成 ， 其 中 部 分 是 计 


算 机 。 
2. 操作 系统 层 这 一 层 与 硬件 层 交 互 ， 为 系统 中 较 


高 层 的 软件 层 提供 一 套 公 共 工 具 。 工程 工程 
3. 通信 和 数据 管理 层 ”这 一 层 扩展 了 操作 系统 工 - = 

具 ， 提 供 允许 与 更 多 扩展 功能 交互 的 接口 ， 比 如 访问 远 

程 系统 ， 访 问 系统 数据 库 等 。 因 为 这 一 层 通常 在 应 用 程 

序 和 操作 系统 之 间 ， 因 此 有 时 被 称 为 中 间 件 。 设备 
4. 应 用 层 ”这 一 层 提供 所 需 的 特定 应 用 功能 ， 可 能 图 10-1 “社会 技术 系统 楼 

包含 有 多 个 不 同 的 应 用 程序 。 
5. 业务 过 程 层 ”利用 软件 系统 的 机 构 业 务 过 程 在 这 一 层 定义 及 制定 。 
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6. 机 构 层 ”这 一 层 包含 更 高 层 的 战略 流程 以 及 业务 规则 、 政 策 和 使 用 系统 时 要 遵循 的 标准 。 

7. HSE ”这 一 层 定 义 了 支配 系统 运作 的 社会 法 律 和 规章 。 | 

原则 上 说 ， 大 多 数 交 互 是 在 相 邻 层 进行 的 ， 每 一 层 对 上 一 层 隐藏 下 一 层 的 细节 。 但 实际 上 并 
不 总 是 这 样 ， 有 时 也 存在 层次 间 的 意外 交互 ， 从 而 给 整个 系统 带 来 问题 。 例 如 ， 假 设 规定 个 人 信 
息 访 问 的 法 律 发 生 了 变化 ， 这 一 点 属于 社会 层 。 它 引发 了 新 的 机 构 程 序 和 业务 过 程 的 变化 。 也 
是 ， 应 用 程序 系统 可 能 不 能 提供 所 需 层 次 的 细节 ， 因 此 也 要 在 通信 和 数据 管理 层 做 出 相应 的 
调整 。 

顾全 整个 系统 ， 而 不 是 简单 地 从 孤立 的 软件 角度 来 看 ， 这 对 于 考虑 软件 的 信息 安全 性 和 可 
靠 性 是 非常 必要 的 。 软 件 的 失败 很 少 会 对 它 自身 造成 严重 的 后 果 ， 因 为 软件 是 无 形 的 存在 ， 即 便 
受到 损坏 ， 也 可 以 轻而易举 地 修复 。 但 是 ， 当 这 些 软 件 的 失败 波及 系统 的 其 他 部 分 ， 它 们 会 影响 
软件 的 物理 的 以 及 人 的 环境 。 此 时 ， 失 败 的 后 果 更 加 严重 。 人 们 不 得 不 做 额外 的 工作 修补 损失 ， 
比如 设备 的 损毁 ， 数 据 的 丢失 和 损坏 ， 或 者 秘密 泄露 导致 的 未 知 后 果 。 

所 以 ， 当 你 设计 一 个 对 信息 安全 性 和 可 靠 性 有 要 求 的 软件 时 ， 你 必须 从 系统 全 局 观察 。 你 必 
须 了 解 软件 失败 带 给 系统 中 其 他 部 件 的 后 果 。 此 外 ， 系 统 中 的 其 他 部 件 亦 有 可 能 造成 、 或 防止 软 
件 失败 ， 以 及 协助 从 软件 失败 中 恢复 。 

因此 真正 的 问题 往往 是 系统 的 问题 ， 而 非 软件 失败 。 这 说 明 你 需要 检查 软件 与 其 直接 环境 
的 交互 方式 来 确保 : 

1. 软件 失败 尽 可 能 包含 在 系统 栈 的 封闭 层 中 ， 不 会 对 相 邻 层 的 操作 产生 严重 影响 。 软 件 失 
败 不 应 该 导致 系统 失败 。 

2. 理解 系统 栈 的 非 软件 层 错误 和 失败 是 如 何 影 响 软 件 的 ， 同 时 考虑 怎样 将 检测 点 置 入 软件 
中 ， 从 而 协助 检测 失败 ， 以 及 如 何 提供 对 失败 恢复 的 支持 。 

因为 软件 固有 的 柔性 ， 许 多 预想 不 到 的 问题 同时 也 就 摆 在 了 软件 工程 师 们 面前 。 例 如 雷达 
的 位 置 选择 以 后 可 能 发 现 雷达 图 像 有 扭曲 现象 ， 这 时 通过 移动 雷达 重新 定位 已 经 不 现实 了 ， 解 
决 方案 可 能 就 是 通过 软件 来 增强 雷达 图 像 处 理 能 力 ， 消 除 扭曲 现象 。 这 可 能 又 降低 了 软件 的 性 
能 以 至 于 性 能 变 得 无 法 接受 。 此 时 间 题 可 能 被 看 成 是 “软件 失败 ”， 而 实际 上 这 是 系统 整体 设计 
过 程 上 的 失败 。 

软件 工程 师 不 得 不 面 对 在 不 准许 提高 硬件 费用 的 前 提 下 增强 软件 能 力 的 问题 ， 这 种 情况 并 
不 少见 。 许 多 所 谓 的 “软件 失败 ”不 是 软件 固有 问题 的 结果 。 这 种 失败 是 尝试 通过 改变 软件 以 
满足 已 变更 的 系统 工程 需求 的 结果 。 一 个 说 明 这 种 失败 的 好 例子 是 丹佛 飞机 场 行李 系统 的 失败 
(Swartz，1996) ， 在 那儿 ， 过 到 了 许多 所 使 用 的 硬件 设备 上 的 限制 ， 需 要 修改 控制 软件 来 弥补 。 

系统 工程 (Stevens 等 ，1998; Thayer, 2002; Thomé, 1993; White 等 ，1993) 是 设计 整体 系 
统 的 过 程 ， 不 仅 是 系统 中 的 软件 部 分 。 软 件 是 系统 中 的 控制 和 集成 元 素 ， 软 件 工程 成 本 通常 是 系 
统 成 本 中 的 主要 成 分 。 作 为 一 个 软件 工程 师 ， 你 要 了 解 更 多 关于 软件 是 如 何 与 其 他 硬件 和 软件 
系统 交互 的 以 及 希望 如 何 使 用 它 的 知识 。 这 些 知识 能 帮助 你 了 解 软件 的 限制 ， 从 而 设计 更 好 的 
软件 ， 更 好 地 参与 到 整个 系统 工程 的 团队 中 来 。 


10.1 复杂 系统 


系统 这 个 词 用 得 十 分 广泛 。 我 们 经 常 谈论 计算 机 系统 、 操 作 系统 、 支 付 系统 、 教 育 系统 、 政 
府 系统 等 。 显 然 对 “系统 ”这 个 词 的 使 用 之 间 存 在 很 大 差别 ， 但 是 它们 还 是 存在 一 个 共同 特性 ， 
即 在 一 定 程度 上 ， 系 统 超出 了 对 它 的 各 个 部 分 的 简单 堆砌 。 

抽象 的 系统 ， 例 如 政府 系统 ， 我 们 不 在 这 本 书 中 讨论 。 我 这 里 所 讲 的 系统 聚焦 在 那些 包含 计 
算 机 在 内 且 有 某 种 特殊 目的 一 类 系统 上 ， 比 如 能 够 用 于 通信 、 支 持 导航 和 工资 发 放 的 系统 。 对 这 
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第 二 部 分 “可 依赖 性 和 信息 安全 性 


类 系统 的 一 个 实用 且 有 指导 作用 的 定义 如 下 : 

系统 是 一 组 相互 关联 、 不 同 种 类 、 为 实现 目标 协同 工作 的 组 件 集合 。 

这 个 一 般 性 的 定义 适合 绝 大 部 分 系统 。 举 例 来 说 ， 激 光 笔 是 一 个 简单 的 系统 ， 它 只 包括 几 个 
硬件 组 件 ， 外 加 少量 的 控制 软件 。 相 反 ， 一 个 空中 交通 管制 系统 则 是 由 数 干 个 硬件 和 软件 组 件 组 
成 的 ， 而 且 还 要 有 多 人 参与 ， 他 们 根据 系统 信息 来 做 出 决定 。 

所 有 复杂 系统 都 有 一 个 特征 ， 系 统 组 件 的 属性 和 行为 会 不 可 避免 的 交织 在 一 起 。 每 个 系统 
组 件 机 能 的 成 功 取决 于 其 他 组 件 的 机 能 。 因 此 ， 软 件 只 有 在 处 理 器 运转 的 情况 下 进行 操作 。 处 理 
器 也 只 有 在 定义 计算 的 软件 系统 成 功 安 装 后 才 可 以 进行 计算 。 

复杂 系统 通常 具有 层次 结构 并 且 包 含 其 他 系统 。 比 如 ， 警 察 指挥 控制 系统 会 包含 一 个 地 理 
信息 系统 ， 以 提供 事故 地 点 的 详细 信息 。 这 些 被 包含 的 系统 称 为 “ 子 系统 "。 子 系统 可 以 独立 地 
运行 ， 例 如 ， 相 同 的 地 理 信息 系统 可 以 用 在 物流 运输 和 应 急 指挥 与 控制 系统 中 。 

包含 软件 的 系统 可 以 分 为 两 类 : 

1. 基于 计算 机 的 纯 技术 系统 ”此 类 系统 包括 软件 组 件 和 硬件 组 件 ， 但 不 包括 业务 过 程 。 这 
种 纯 技 术 性 系统 的 例子 有 电视 、 移 动 电话 以 及 其 他 嵌 人 软件 的 设备 。 多 数 个 人 电脑 软件 、 电 脑 游 
戏 等 也 属于 此 类 。 个 人 和 机 构 为 特定 目的 使 用 纯 技 术 系统 ， 但 是 有 关 该 目的 的 知识 是 不 包括 在 
此 系统 之 内 的 。 例 如 ， 作 者 所 使 用 的 字 处 理 软件 并 不 知道 它 正 被 用 来 写 一 本 书 。 

2. 社会 技术 系统 ”此 类 系统 包括 一 个 或 多 个 技术 系统 ， 但 关键 是 ， 系 统 本 身 还 包括 了 解 系 
统 目 的 人 员 。 社 会 技术 系统 把 操作 流程 和 人 员 (操作 者 ) 定义 为 系统 内 在 的 一 部 分 ， 受 制 于 机 
构 的 政策 和 规则 ， 而 且 受 到 外 部 约束 的 影响 ， 这 些 外 部 因素 例如 国家 法 律 和 调节 政策 。 例 如 ， 这 
本 书 葛 产生 是 通过 一 种 包括 了 各 种 流程 和 技术 系统 的 社会 技术 出 版 系统 。 

社会 技术 系统 是 协助 提供 业务 目标 的 企业 系统 。 此 目标 可 以 是 提高 销售 量 、 减 少 制造 中 原 
材料 用 量 、 收 税 、 维 护 安 全 空间 等 。 因 为 系统 被 嵌 人 到 机 构 环境 中 ， 这 些 系统 的 采购 、 开 发 和 使 
用 会 受到 机 构 的 政策 和 流程 ， 以 及 企业 文化 的 影响 。 系 统 的 用 户 则 受 机 构 的 管理 以 及 与 内 外 部 
人 员 的 交互 方式 所 影响 。 

当 你 尝试 开发 社会 技术 系统 时 ， 你 需要 了 解 它们 所 使 用 的 机 构 环 境 。 否 则 系统 可 能 不 符合 
业务 需求 ， 用 户 以 及 他 们 的 管理 者 会 否定 这 个 系统 。 系 统 环境 的 机 构 因 素 会 影响 到 社会 技术 系 
统 的 需求 、 设 计 和 运作 ， 它 包括 : 

1. 过 程 变更 ”系统 可 能 对 环境 中 的 工作 流程 有 更 改 需求 。 如 果 是 这 样 ， 则 一 定 存在 培训 需 
求 。 如 果 是 重大 变化 ， 或 者 牵扯 到 失业 问题 ， 那 么 存在 用 户 抵制 采用 系统 的 风险 。 

2. 工作 变更 ”新 系统 可 能 会 降低 环境 中 用 户 的 技术 含量 或 者 导致 他 们 的 工作 方式 发 生变 化 。 
如 果 是 这 样 ， 用 户 会 积极 抵制 机 构 采 用 该 系统 。 如 需要 管理 者 更 改 工 作 方式 来 适应 新 计算 机 系 
统 的 设计 ， 这 通常 会 引 来 不 满 。 管 理 者 会 感觉 自己 在 机 构 中 的 地 位 被 系统 削减 了 。 

3. 机构 变更 ”系统 可 能 改变 机 构 中 的 行政 权力 结构 。 例 如 ， 如 果 一 个 机 构 依 赖 一 个 复杂 的 
系统 ,那么 控制 该 系统 访问 的 人 员 具 有 很 大 的 行政 权力 。 

考虑 到 信息 安全 性 和 可 靠 性 问题 时 ， 社 会 技术 系统 有 3 个 十 分 重要 的 特性 : 

1， 系 统 整体 特性 ， 即 系统 作为 一 个 整体 而 不 是 各 个 单个 部 分 所 表现 的 性 质 。 整 体 特性 即 依 
赖 于 系统 组 件 又 依赖 于 组 件 之 间 的 关联 关系 。 在 此 复杂 性 下 ， 整 体 特 性 只 能 在 系统 装配 完成 之 
后 才能 评估 。 信 息 安 全 性 和 可 靠 性 属于 整体 特性 。 

2. 系统 的 非 确定 性 。 这 意味 着 ， 当 给 它 某 个 特别 的 输入 时 ， 它 不 总 是 产生 相同 的 输出 。 系 
统 的 行为 依赖 于 操作 的 人 ， 而 人 不 总 是 以 相同 的 方式 反应 。 此 外 ， 对 系统 的 使 用 可 能 产生 新 的 系 
统 组 件 之 间 的 关系 ， 因 此 改变 了 总 体 行 为 。 系 统 缺 陷 和 失败 因此 是 瞬间 的 ， 人 们 可 能 在 失败 是 否 
发 生 过 存在 不 一 样 的 看 法 。 
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3. 系统 支持 机 构 目 标的 程度 和 范围 不 仅仅 依赖 于 系统 本 身 。 它 往往 还 依赖 于 这 些 目标 的 稳 

定性 ， 机 构 目 标 之 间 的 关系 和 冲突 ， 以 及 机 构 中 人 员 是 如 何 解 释 这 些 目标 的 。 新 的 管理 人 员 会 重 
新 解释 机 构 当 初 所 设计 的 系统 目标 ， 由 此 一 个 “成 功 的 ”系统 可 能 变 成 一 个 “失败 的 ”系统 。 
”在 决定 系统 是 否 成 功 地 满足 其 目标 时 ， 社 会 技术 性 考虑 起 到 关键 性 的 作用 。 遗 憾 的 是 ， 对 于 
那些 没有 什么 社会 和 文化 阅历 的 工程 师 们 来 说 ， 考 虑 到 这 些 因素 对 系统 的 影响 是 十 分 困难 的 。 
为 了 帮助 理解 系统 对 机 构 的 影响 ， 人 们 研究 了 各 种 方法 ， 例 如 Mumford 的 社会 技术 学 (1989) 
和 Checkland 的 软 系统 方法 论 (1981; Checkland 和 Scholes, 1990) 。 还 有 大 量 的 有 关 基 于 计算 机 
系统 对 工作 影响 的 社会 学 研究 (Ackroyd 等 ，1992; Anderson 4, 1989; Suchman, 1987), 


10. 1.1 系统 总 体 特性 


系统 中 组 件 之 间 的 复杂 关系 意味 着 系统 不 只 是 它 的 各 部 分 的 简单 的 总 和 ， 它 还 产生 一 些 系 
统 的 整体 特 人 性。 这些 “总 体 特性 ” ( Checkiand, 1981) 不 能 归于 任何 一 个 专门 的 组 件 部 分 ， 只 
有 从 系统 整体 上 看 时 这 些 特性 才 浮 现 出 来 。 有 一 些 特性 ， 比 如 重量 ， 可 以 直接 从 子 系统 间 的 特性 
比较 中 得 出 ， 但 一 般 情 况 下 则 源 于 复杂 的 子 系统 之 间 的 关联 关系 。 系 统 特性 不 能 直接 从 单独 的 
系统 组 件 计 算得 出 。 图 10-2 所 示 是 一 些 系统 特性 的 例子 。 












系统 的 体积 〈 总 的 空间 占用 ) 是 与 组 件 的 装配 安排 和 连接 有 关 的 


系统 的 可 靠 性 依赖 于 组 件 的 可 靠 性 ， 但 是 未 预料 的 交互 能 引起 新 的 失败 类 型 ， 因 而 影响 
系统 的 可 靠 性 


系统 的 信息 安全 性 〈 它 的 抵御 攻击 的 能 力 ) 是 个 十 分 复杂 的 特性 ， 很 难 用 尺度 来 衡量 。 
所 设计 的 攻击 可 能 是 系统 设计 者 所 无 法 估计 的 ， 因 而 也 就 无 法 实现 内 嵌 的 安全 措施 


此 性 质 反映 了 当 问 题 一 旦 发 现时 修补 此 问题 的 难 易 程度 。 它 依赖 于 诊断 问题 的 能 力 ， 对 
有 问题 组 件 的 访问 以 及 修改 和 更 换 这 些 组 件 的 能 力 


此 性 质 反映 使 用 系统 的 难 易 程度 。 它 依赖 于 系统 组 件 的 技术 、 它 的 使 用 者 以 及 运行 环境 






















信息 安全 性 






























图 10-2 系统 总 体 特 性 的 例子 


总 体 特性 有 两 种 类 型 ; 

l. 功能 特性 ， 在 系统 的 所 有 组 件 集成 后 系统 目的 才 表 现 出 来 。 举 例 来 说 ， 当 自行 车 被 装配 
起 来 之 后 就 具有 了 运输 工具 的 功能 特性 。 

2. 非 功 能 特性 ， 与 系统 在 其 运行 环境 中 的 行为 有 关 ， 如 可 靠 性 、 人 性能、 安全 性 和 信息 安全 
性 。 这 些 特 性 对 基于 计算 机 的 系统 来 说 至 关 重 要 ， 如 果 在 某 些 特性 上 达 不 到 最 低 要 求 ， 系 统 可 能 
会 因此 无 法 使 用 。 某 些 系统 功能 可 能 对 某 一 类 用 户 是 不 需要 的 ， 因 此 ， 如 果 该 系统 不 具备 这 些 功 
能 也 是 可 以 接受 的 。 然 而 ， 若 一 个 系统 是 不 可 靠 的 或 运行 速度 太 慢 ， 那 它 就 很 难 被 用 户 接受 。 

整体 可 靠 性 特性 ， 例 如 可 靠 性 ， 同 时 取决 于 单个 组 件 的 特性 以 及 它们 之 间 的 交互 。 系 统 中 的 
组 件 是 相互 依赖 的 。 一 个 组 件 的 失败 会 传播 到 整个 系统 中 并 影响 到 其 他 组 件 的 运作 。 但 是 ， 预 测 
组 件 失败 对 其 他 组 件 有 怎样 的 影响 通常 很 困难 。 因 此 ， 从 系统 组 件 的 可 靠 性 数据 中 评估 整体 系 
统 可 靠 性 是 几乎 不 可 能 的 。 

在 一 个 社会 技术 系统 中 ， 你 可 以 从 如 下 3 点 需要 考虑 可 靠 性 : 

1. 硬件 可 靠 性 ” 某 个 硬件 组 件 失效 的 可 能 性 有 多 大 ， 修 复 那 个 组 件 需要 多 长 时 间 ? 

2. 软件 可 靠 性 一 个 软件 组 件 产生 不 正确 的 输出 的 可 能 性 有 多 大 ? 软件 失败 与 硬件 失败 有 
一 个 明显 的 不 同 ， 那 就 是 软件 不 存在 老化 问题 。 失 败 通常 是 暂时 的 ， 软 件 甚至 在 出 现 不 正确 的 结 
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果 之 后 仍 能 继续 运行 。 

3. 操作 员 可 靠 性 ”系统 操作 员 出 现 操作 失误 输入 错误 的 可 能 性 有 多 大 ? 软件 无 法 检测 到 错 
误导 致 失败 传播 的 可 能 性 有 多 大 ? 

硬件 、 软 件 以 及 操作 员 可 靠 性 不 是 独立 的 。 
图 10-3 表示 的 就 是 一 个 层次 的 失败 如 何 传播 到 系 GAT 操作 
统 中 的 其 他 层次 中 。 硬 件 失败 会 产生 伪 信 号 ， 导 
致 输入 超出 软件 接受 范围 。 软 件 会 有 无 法 预测 的 » [de —" 
行为 并 产生 意外 的 输出 。 这 会 给 操作 员 带 来 困惑 ， A c 4a 
使 其 有 压力 。 E Edi 

操作 员 的 错误 很 可 能 是 在 其 感到 紧张 的 情况 xc ji 
下 发 生 的 。 因 此 硬件 失败 可 能 意味 着 系统 操作 员 A RU 
的 失误 ， 从 而 造成 更 严重 的 软件 问题 或 者 额外 的 i 
处 理 。 这 会 使 硬件 超 负荷 ， 导 致 更 多 的 失败 等 ， | 
因此 ， 那 些 本 来 有 可 能 恢复 的 初始 失败 ， 会 迅速 发 展 成 为 可 能 导致 整个 系统 崩溃 的 严重 问题 。 

系统 的 可 依赖 性 取决 于 系统 所 在 的 上 下 文 。 但 是 ， 系 统 的 环境 不 能 完全 定义 ， 系 统 设计 师 也 
不 能 为 运行 系统 规定 环境 上 的 限制 。 同 一 环境 下 运行 的 不 同 的 系统 会 反映 出 不 同 的 问题 ， 从 而 
影响 整个 系统 的 可 依赖 性 。 

例如 ， 一 个 系统 设 定 在 普通 室温 下 运行 。 为 了 允许 变化 和 异常 条 件 下 ， 系 统 中 的 电子 元 件 被 
设计 工作 在 一 个 特定 的 温度 范围 内 ， 比 如 0° ~ 45。 范 围 内 。 超 出 此 温度 范围 ， 该 元 件 会 有 异常 行 
为 。 假 设 此 系统 被 安装 在 空调 附近 ， 如 果 空 调 失灵 ， 向 系统 排放 热气 ， 那 么 系统 会 过 热 。 该 元 件 
乃至 整个 系统 会 出 现 错误 。 

如 果 系 统 被 安装 在 环境 中 的 其 他 地 方 ， 这 个 问题 可 能 不 会 出 现 。 当 空调 运行 良好 时 ， 没 有 任 
何 问题 。 但 是 ， 由 于 这 些 机 器 摆 放 的 很 接近 ， 他 们 之 间 的 意外 联系 会 造成 系统 的 失败 。 

像 可 依赖 性 一 样 ， 其 他 的 总 体 特性 (如 性 能 和 可 用 性 ) 也 是 很 难 评估 的 ， 但 当 系统 运行 时 
这 些 特 性 是 可 以 测量 的 。 如 安全 性 和 信息 安全 性 这 样 的 特性 产生 的 问题 是 不 一 样 的 ， 这 时 你 不 
再 只 是 关心 与 系统 行为 相关 的 属性 ， 同 时 也 要 关心 不 需要 或 者 不 能 接受 的 行为 。 一 个 保密 的 系 
统 是 不 允许 未 经 授权 的 人 员 对 数据 进行 操作 的 ， 但 是 ， 分 析出 所 有 可 能 的 进入 系统 的 方式 是 不 
可 能 做 到 的 ， 因 此 ， 很 难 做 到 对 非法 闻 入 的 绝对 避免 。 所 以 对 这 些 “不 可 以 ”属性 的 评估 只 能 
是 粗略 的 。 只 有 当真 正 有 人 冯 人 系统 时 你 才 知 道 系统 的 不 安全 因素 的 存在 。 


10.1.2 系统 非 确定 性 


确定 性 系统 是 一 种 完全 可 预测 的 系统 。 如 果 我 们 忽略 时 序 问 题 ， 一 个 在 完全 可 靠 的 硬件 上 
运行 的 软件 系统 ， 对 于 一 串 输入 序列 ， 总 会 产生 相同 的 输出 序列 。 当 然 ， 不 可 能 存在 完全 可 靠 的 
硬件 ， 但 是 硬件 通常 足够 可 靠 ， 可 以 认为 它 是 确定 的 。 

在 另 一 方面 ， 人 员 是 不 确定 的 。 提 供 完 全 相同 的 输入 比如 要 求 完成 一 个 任务 ) ， 他 们 的 反 
应 取决 于 他 们 的 情绪 、 身 体 状况 、 指 派 任务 的 人 、 环 境 中 的 其 他 人 以 及 他 们 手头 上 的 其 他 事 。 有 
时 候 他 们 很 乐意 完成 这 份 工 作 ， 有 时 则 会 拒绝 。 

社会 技术 系统 是 非 确定 的 ， 一 方面 因为 它 包含 人 的 因素 ; 另 一 方面 在 这 些 系统 中 硬件 、 软 件 
和 数据 变更 的 频率 太 高 。 这 些 变 更 间 的 交互 十 分 复杂 ， 因 此 系统 的 行为 无 法 预测 。 这 本 身 并 不 是 
一 个 间 题 ,但 从 可 靠 性 角度 来 说 ， 它 会 导致 难以 确定 系统 失败 是 否 发 生 或 难以 评估 系统 失败 的 
频率 。 

例如 ， 给 一 个 系统 提供 20 个 测试 输入 ， 处 理 这 些 输入 的 同时 记录 结果 。 一 段 时 间 过 后 ， 处 
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理 相 同 的 20 个 测试 输入 ， 然 后 将 其 结果 与 前 一 次 记录 的 结果 进行 对 比 ， 发 现 有 5 个 不 同 。 这 是 
否 说 明 存 在 5 处 失败 ? 抑或 这 些 区 别 仅 仅 是 系统 行为 的 合理 变化 ? 只 有 在 更 深入 地 查看 结果 并 分 
析 系 统 处 理 每 个 输入 的 方式 之 后 才能 得 出 结论 。 


10.1.3 成 功 标准 


通常 ， 开 发 复杂 社会 技术 系统 是 来 解决 一 些 “ 极 复杂 问题 ”( Rittel 和 Webber, 1973), fnis 
“ 极 复杂 问题 "， 是 指 这 类 问题 非常 复杂 ， 具 有 非常 多 的 关联 实体 ， 并 且 无 法 给 出 问题 的 确切 描 
述 。 不 同 的 信息 持 有 者 会 从 不 同 的 角度 来 看 待 这 个 问题 ， 没 有 人 对 此 有 全 面 的 认识 。 只 有 当 解 决 
办 法 有 了 之 后 这 类 问题 的 本 质 才 暴 露出 来 。 这 种 问题 的 一 个 极端 例子 是 地 震 预 报 ， 没 有 人 能 准 
确 预 报 地 震 的 震源 在 哪儿 、 什 么 时 间 会 发 生 、 对 局 部 环境 有 什么 样 的 影响 等 。 因 此 ， 无 法 详细 准 
确 预 报 强 震 。 

这 使 得 定义 系统 成 功 的 标准 变 得 很 困难 。 如 何 确定 一 个 新 系统 是 否 能 像 原先 计划 的 那样 提 
供 公司 的 业务 目标 的 支持 ? 对 于 是 否 成 功 的 判断 通常 不 是 参照 采购 和 开发 系统 的 最 初 理由 的 ， 
而 是 看 它 是 否 在 部 署 的 当时 是 有 效 。 由 于 业务 环境 会 很 快 发 生变 化 ,业务 目 标 也 会 在 系统 开发 
过 程 中 发 生 重大 变化 。 

当 目 标 在 不 同 信息 持 有 者 的 解释 下 产生 冲突 ， 情 况 会 变 得 更 为 复杂 。 例 如 ，MHC-PMS 系统 
CB I 章 中 讨论 过 ) 是 基于 两 个 不 同 的 业务 目标 的 : 

1. 提高 对 心理 疾病 患者 护理 的 质量 。 

2. 通过 提供 详细 的 关于 护理 和 花费 的 报告 以 增加 收入 。 

不 幸 的 是 ， 上 述 两 点 目标 是 冲突 的 。 因 为 第 二 点 目标 所 需 的 信息 意味 着 医生 和 护士 必须 提 
供 人 额外 的 信息 ， 远 超过 普通 健康 记录 的 维护 量 。 这 意味 着 诊所 的 工作 人 员 陪 病 患 谈话 的 时 间 减 
少 因而 降低 了 照顾 患者 的 质量 。 从 医生 的 角度 来 说 ， 系 统 并 未 较 过 去 的 人 工 系统 有 所 提高 ; 但 从 
管理 者 的 角度 来 说 ， 的 确 有 所 提高 。 

信息 安全 性 和 可 靠 性 的 属性 的 本 质 有 时 使 得 确定 系统 是 否 成 功 变 得 更 为 困难 。 例 如 ， 某 个 
新 系统 的 目的 是 用 更 安全 的 数据 环境 替换 已 有 系统 以 提高 信息 安全 性 。 安 装 后， 系统 受到 攻击 ， 
出 现 安全 缺口 ， 一 些 数据 遭 到 破坏 。 这 是 否 说 明 系 统 是 失败 的 ? 我 们 不 能 确定 ， 因 为 我 们 不 知道 
原 有 系统 在 受到 相同 程度 攻击 时 的 损失 值 。 


10.2 系统 工程 


系统 工程 包括 采购 、 描 述 、 设 计 、 实 现 、 有 效 性 验证 、 部 署 、 运 作 和 维护 社会 技术 系统 的 一 
系列 活动 。 系 统 工程 师 不 仅 要 关心 系统 的 软件 ， 还 要 注意 硬件 以 及 系统 与 用 户 和 周围 环境 间 的 
交互 。 它 们 一 定 要 考虑 系统 能 提供 什么 样 的 服务 、 系 统 的 建设 和 运行 受到 什么 样 的 限制 、 系 统 为 
达到 其 目的 是 如 何 使 用 的 。 

如 图 10-4 所 示 ， 大 型 复杂 社会 技术 系统 的 生命 周期 中 包括 3 个 交 秋 的 阶段 : 

1. 采购 和 获得 ”在 此 阶段 ,系统 的 目标 是 确定 的 ， 高层 系 统 需 求 已 经 建立 , 已 做 出 关于 功 
能 在 硬件 、 软 件 和 人 员 上 的 分 布 分 配 的 决策 。 采 购 构成 系统 的 组 件 。 

2 开发 ”系统 在 此 阶段 进行 开发 。 开 发 过 程 包括 与 系统 开发 相关 的 所 有 活动 ， 比 如 需求 定义 、 
系统 设计 、 硬 件 及 软件 工程 、 系 统 集成 和 测试 。 此 阶段 定义 运作 流程 并 为 系统 用 户 设计 培训 课程 。 

3. 运行 系统 在 此 阶段 进行 部 署 ， 用 户 完成 培训 ， 系 统 投入 使 用 。 规 划 的 运作 流程 通常 会 
根据 系统 实际 的 工作 环境 进行 调整 。 随 着 时 间 的 推移 ， 会 确定 新 的 需求 ， 系 统 也 会 因此 进行 进 
化 。 最 终 ， 系 统 的 价值 会 逐渐 下 降 ， 直 至 其 退役 并 被 替代 。 
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图 10-4 系统 工程 的 阶段 


这 些 阶段 并 不 是 独立 的 。 一 旦 系统 进入 运行 阶段 ， 就 要 购置 新 的 设备 和 软件 来 代替 旧 系 统 
组 件 ， 以 提供 新 功能 ， 或 者 应 对 日 趋 增长 的 需求 。 类 似 地 ， 运 作 时 的 变更 需求 同样 需要 进一步 的 
系统 开发 。 

系统 的 总 体 信息 安全 性 和 可 靠 性 受 这 些 阶 段 的 所 有 活动 影响 。 设 计 方案 会 受到 系统 范围 以 
及 系统 软 硬 件 的 采购 决定 的 限制 。 由 于 某 些 系统 安全 措施 可 能 无 法 实现 ， 可 能 引信 一些 缺 陷 ， 从 
而 导致 系统 失败 。 在 描述 、 设 计 和 开发 阶段 出 现 的 人 为 错误 也 会 向 系统 引信 人 缺陷。 不 全 面 的 测试 
意味 着 在 部 署 前 没有 完全 发 现 系统 缺陷 。 在 运行 中 ， 部 署 时 的 系统 配置 错误 会 导致 深层 的 缺陷 ， 
系统 操作 员 也 会 在 使 用 系统 时 出 错 。 在 进行 变更 时 ， 最 初 采购 做 出 的 假设 会 被 忽略 ， 同 样 的 ， 这 
会 向 系统 引入 缺陷 。 

系统 工程 和 软件 工程 的 重要 区 别 在 于 其 整个 生命 
周期 内 多 专业 学 科 的 融合 。 例 如 ， 图 10-5 所 示 的 是 航 
空 管制 系统 的 采购 和 开发 过 程 中 可 能 涉及 的 学 科 。 由 
于 新 的 航空 管理 系统 通常 需要 建造 新 建筑 物 ， 系 统 会 
需要 建筑 师 和 土木 工程 师 。 电 机 和 机 械 工程 师 会 指定 
和 维护 电力 及 空调 系统 。 电 子 工程 师 则 负责 计算 机 、 
雷达 和 其 他 设备 。 人 体 学 工程 师 设 计 控 制 工作 站 ， 而 
软件 工程 师 和 用 户 界面 设计 师 负 责 系 统 的 软件 。 

由 于 复杂 社会 技术 系统 包含 众多 方面 ， 多 专业 学 o — 0 0 7700 TU 
科 的 融合 变 得 十 分 关键 。 但 是 ， 学 科 之 间 的 区 别 也 会 图 10-5 系统 工程 包含 的 专业 学 科 
给 系统 带 来 缺陷 ， 因 此 需要 对 正在 开发 的 系统 进行 信息 安全 性 与 可 靠 性 的 折 中 。 

L 不 同学 科 用 相同 的 词 表示 不 同 的 含义 。 不 同 背景 的 工程 师 在 讨论 中 经 常 出 现 误解 。 如 果 
这 个 问题 没有 在 系统 的 开发 阶段 被 发 现 并 得 到 解决 ， 则 会 导致 交付 的 系统 中 出 现 错误 。 例 如 ， 一 
个 略 懂 一 点 C# 编 程 的 电子 工程 师 并 不 知道 Java 中 的 方法 相当 于 C 语言 中 的 函数 。 

2. 每 个 学 科 会 被 其 他 学 科 的 人 员 假 定 什么 可 以 或 不 可 以 做 到 。 这 些 通常 是 由 于 学 科 间 对 事 
实 上 什么 是 可 能 的 理解 不 全 面 造 成 的 。 比 如 ， 一 个 用 户 界面 设计 师 为 一 个 馈 人 式 系统 构建 了 一 
个 图 形 界面 ， 界 面 对 处 理 的 需求 量 很 大 ， 因 而 造成 系统 处 理 器 的 过 载 。 

3 科学 家 们 会 保护 他 们 的 学 术 领 域 ， 他 们 会 争取 参与 某 些 设计 决断 ， 因 为 这 些 设 计 决 定 会 
需要 他 们 的 知识 。 因 此 ， 当 为 某 建筑 中 的 门禁 系统 选 型 时 ， 尽 管 机 械 锁 系统 可 能 更 可 靠 ， 软 件 工 
程 师 还 是 会 争取 使 用 基于 软件 的 门 锁 系 统 。 


10.3 系统 采购 | 
系统 工程 的 最 初 阶段 是 系统 采购 〈 有 时 称 为 系统 获得 ) 。 在 此 阶段 会 决定 系统 的 采购 范围 、 
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预算 、 时 间 表 和 高 层 系 统 需求 。 利 用 这 些 信 息 ， 可 以 进一步 决定 是 否 要 采购 一 个 系统 、 需 要 何 种 
类 型 的 系统 以 及 找 哪 个 或 哪些 系统 供应 商 。 驱 动 做 出 这 些 决定 的 力量 是 : 

l. 机 构 中 其 他 系统 的 情况 ”如 果 该 机 构 中 各 种 系统 混合 在 一 起 ， 彼 此 间 很 难 通信 或 维修 费 
用 昂贵 ， 那 么 采购 一 个 代替 的 系统 会 给 业务 带 来 很 大 的 益处 。 

2. 遵守 外 部 规则 的 需要 ”业务 已 经 受到 越 来 越 多 的 监管 ， 必 须 服从 外 界 的 规定 (例如 ， 在 
美国 要 遵循 萨 班 斯 法 案 ) 。 相 应 的 就 会 对 不 符合 规定 的 系统 有 替换 需求 ， 或 者 需要 对 新 系统 有 特 
定 的 是 否 遵 循 规 定 的 监控 。 

3、 外 部 竞争 ”如 果 一 个 业务 需要 有 效 的 竞争 或 者 保持 竞争 优势 ， 那 么 对 为 提高 业务 过 程 效 
率 的 新 系统 投资 是 明智 的 。 比 如 军事 系统 中 ,采购 新 系统 的 原因 可 能 是 面临 新 威胁 。 

4. 业务 重组 ”业务 和 其 他 机 构 间 频繁 重组 ， 以 提高 效率 及 客户 服务 。 重 组 会 对 业务 过 程 造 
成 改变 ， 从 而 对 新 系统 支持 产生 需求 。 

5. 可 用 的 预算 ”当前 可 用 的 预算 是 决定 所 采购 新 系统 范围 的 一 个 明显 因素 。 

此 外 ， 通 常会 采购 新 政府 系统 来 表现 政治 变革 和 政治 策略 。 例 如 ， 一 些 政客 可 能 决定 购买 新 
的 监管 系统 来 反击 慌 怖 主义 ， 通 过 购买 此 类 系统 向 选民 表明 他 们 已 经 采取 行动 。 但 是 ， 北 类 系统 
的 采购 通常 没有 进行 成 本 效益 分 析 ， 因 而 没有 比较 不 同 的 消费 选择 所 带 来 的 益处 。 

大 型 复杂 系统 通常 是 现成 组 件 和 定制 组 件 的 复合 体 。 系 统 中 存在 的 软件 数量 越 来 越 多 的 原 
因 之 一 是 这 样 会 更 多 地 用 到 硬件 组 件 ， 软 件 起 到 “胶水 ”的 作用 ， 使 这 些 硬 件 组 件 有 效 地 集成 
到 一 起 。 使 用 现成 组 件 所 节约 的 成 本 不 如 预期 的 原因 之 一 就 是 开发 这 类 “ 粘 接 剂 ” 的 开销 。 

图 10-6 所 示 是 一 个 简单 的 采购 流程 模型 ， 针 对 COTS 系统 组 件 以 及 需要 特别 设计 开发 的 系统 
组 件 。 图 中 所 示 流 程 的 重点 是 : 
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图 10-6 系统 采购 流程 


l. 现成 产品 组 件 通 常 不 能 完全 地 满足 需求 ， 除 非 书写 需求 时 已 经 考虑 到 了 将 采用 这 些 组 
件 。 因此， 选择 一 个 系统 就 是 最 大 限度 地 找到 系统 需求 和 现成 产品 组 件 之 间 的 结合 点 。 

2. 当 一 个 系统 要 专门 开发 时 ， 需 求 的 描述 是 系统 获得 合同 的 基础 。 因 此 ， 它 既是 有 法 律 效 
力 的 文件 ， 同 时 也 是 技术 文件 。 

3. 选择 承包 商 后 ， 为 了 开发 系统 ， 要 通过 合同 洽谈 期 ， 在 此 阶段 协商 需求 的 进一步 变更 ， 
并 商定 诸如 系统 变更 的 花费 等 问题 。 同 样 的 ， 当 COTS 系统 被 选 定 后 ， 你 就 需要 和 提供 商 就 花 
费 、 使 用 许可 条 件 、 可 能 的 变更 等 问题 进行 治 谈 。 

社会 技术 系统 中 的 软件 和 硬件 通常 由 另外 一 些 机 构 (提供 商 ) 开发 ， 而 非 采购 系统 的 机 构 
本 身 开 发 的 。 原 因 在 于 ， 采 购 者 的 业务 很 少 涉及 软件 开发 ， 因 此 其 员工 不 具备 自行 开发 系统 所 需 
的 能 力 。 事 实 上 ， 极 少 有 公司 具有 大 型 复杂 社会 技术 系统 的 设计 、 开 发 及 测试 全 部 组 件 的 能 力 。 

这 样 的 供应 商 通常 被 称 为 主 承 包 商 ， 它 可 能 把 不 同 子 系统 的 开发 转 包 给 许多 的 子 承包 商 。 
对 于 大 型 系统 ， 例 如 航空 交通 管制 系统 ， 一 些 供应 商会 形成 一 个 联盟 寻求 中 标 。 联 盟 成 员 应 该 覆 
盖 该 类 系统 所 需 的 所 有 方面 ， 包 括 计算 机 硬件 供应 商 、 软 件 开发 者 、 外 围 辅助 设备 的 供应 商 和 一 
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些 特殊 设备 (如 雷达 ) 的 供应 商 。 

采购 者 只 与 主 夭 包 商 谈判 而 不 直接 与 子 承包 商 联 系 ， 这 样 采购 者 和 提供 商 就 只 有 一 个 界面 。 
子 承包 商 按照 主 承 包 商 给 出 的 系统 描述 来 设计 和 开发 。 一 经 完成 ,这些 不 同 的 部 分 被 主 承 包 商 
整合 ， 然 后 被 交付 给 采购 机 构 。 根 据 合 同 ， 采购 者 可 能 允许 主 承 包 商 自由 选择 子 承 包 商 ,或 者 需 
要 主 承 包 商 从 一 个 指定 的 子 承包 商 列 表 中 选择 。 

系统 采购 阶段 做 出 的 选择 和 决定 对 于 系统 信息 安全 性 和 可 靠 性 有 重大 的 影响 。 例 如 ， 做 出 
一 个 采购 现货 系统 的 决定 ， 这 就 意味 着 该 机 构 必 须 承认 他 们 在 信息 安全 性 和 可 靠 性 需求 方面 影 
响 十 分 有 限 ， 而 大 部 分 会 依赖 于 系统 制造 商 做 出 的 决定 。 此 外 ， 商 业 现货 系统 可 能 会 存在 已 知 的 
安全 隐患 或 者 需要 复杂 的 配置 。 因 配置 错误 而 导致 的 系统 访问 端口 失去 保护 ， 是 安全 问题 的 主 
要 来 源 。 

愉 一 方面 ， 采 购 定制 系统 的 决定 意味 着 要 为 了 解 和 明确 信息 安全 性 与 可 靠 性 需求 花费 很 大 
的 精力 。 如 果 一 个 公司 在 这 方面 经 验 有 限 ， 对 于 他 们 来 说 这 会 是 一 个 非常 困难 的 事情 。 如 果 可 靠 
性 级 别 和 系统 性 能 要 求 都 要 满足 ， 那 么 开发 周期 会 拖延 ， 开 发 预算 会 上 升 。 


10.4 系统 开发 


系统 开发 过 程 的 目标 是 开发 或 获得 系统 的 所 有 组 件 并 将 其 集成 在 一 起 从 而 形成 最 终 的 系统 。 
需求 是 采购 和 开发 阶段 之 间 的 桥梁 。 在 采购 阶段 会 定义 业务 、 高 层 功能 性 和 非 功能 性 系统 需求 。 
你 可 以 将 此 视 为 开发 的 起 点 ， 选 代 的 全 过 程 如 图 10-4 所 示 。 一 旦 系统 组 件 的 承包 商 已 经 确定 ， 
就 可 以 进入 更 详细 的 需求 工程 阶段 。 

图 10-7 是 系统 开发 过 程 模型 。 系 统 开发 过 程 对 第 2 章 讨 论 的 “瀑布 ”模型 有 很 大 影响 。 尽 
管 现在 已 经 普遍 认为 “瀑布 模型 ”模型 通常 不 适用 于 软件 开发 ， 但 是 多 数 系统 开发 过 程 依然 是 
遵循 此 模型 的 计划 驱动 过 程 。 
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图 10-7 系统 开发 


在 系统 工程 中 使 用 计划 驱动 过 程 的 原因 是 系统 的 不 同 部 分 在 同时 开发 。 对 于 包含 硬件 和 其 
他 设备 的 系统 来 说 ， 开 发 过 程 中 出 现 的 变更 成 本 是 很 高 的 ， 或 者 说 有 时 实际 上 是 不 可 能 的 。 因 此 
在 硬件 开发 或 创建 工作 开始 前 充分 理解 系统 需求 是 十 分 关键 的 。 重 做 系统 设计 以 解决 硬件 问题 
的 可 能 性 很 低 。 正 因为 如 此 ， 越 来 越 多 的 系统 功能 被 分 配 到 系统 软件 中 去 。 这 样 一 来 便 可 以 在 系 
统 开 发 阶段 进行 某 些 改 动 ， 以 对 应 不 可 避免 会 有 所 增长 的 新 系统 需求 。 

系统 工程 中 最 容易 混乱 的 问题 之 一 是 公司 之 间 对 过 程 中 的 每 个 阶段 所 使 用 的 不 同 术 语 ， 过 
程 的 结构 也 五 花 八 门 。 有 时 需求 工程 是 开发 过 程 的 一 部 分 ， 有 时 则 是 一 个 独立 的 活动 。 但 是 ， 本 
质 上 来 说 系统 开发 阶段 分 为 如 下 6 个 基本 活动 : 

L 需求 开发 ”采购 阶段 所 定义 的 高 层 和 业务 需求 要 得 到 进一步 的 完善 。 需 求 要 具体 到 硬件 、 
软件 ， 或 过 程 和 实施 的 优先 级 。 

2. 系统 设计 ”这 个 过 程 和 需求 开发 过 程 有 效 的 迭代 。 其 中 包括 建立 系统 总 体 体 系 结构 、 识 
别 系统 不 同 组 件 以 及 理解 它们 之 间 的 关系 。 
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3、 子 系统 工程 ”这 个 阶段 包括 软件 组 件 的 开发 、 现 成 软 硬 件 的 配置 、 设 计 专 用 硬件 (如果 
有 需要 的 话 ) 、 定 义 系统 运作 流程 以 及 重新 设计 基本 业务 过 程 。 

4 系统 集成 ”此 阶段 会 将 所 有 的 组 件 集成 在 一 起 组 成 新 的 系统 ， 只 有 这 样 系统 总 体 特性 才 
会 显现 。 

5， 系 统 测试 SUL NORE DAMS, PHARM, BRAT RR 
工程 和 系统 集成 阶段 来 修复 这 些 问 题 ， 油 整 系 统 性 能 并 实现 新 的 需求 。 系 统 测试 同时 涉及 系统 
开发 人 员 和 采购 系统 的 机 构 用 户 测试 。 

6、 系 统 部 署 此 时 系统 进入 可 用 阶段 ， 从 已 有 系统 获得 数据 ， 并 与 环境 中 的 其 他 系统 建立 
通信 。 用 户 开始 使 用 系统 来 支持 他 们 工作 时 过 程 达到 峰值 。 

尽管 整体 过 程 是 计划 驱动 的 ， 但 需求 开发 和 系统 设计 过 程 是 相连 的 。 需 求 和 高 层 设计 是 同 
时 发 生 的 。 现 存 系统 的 约束 会 限制 设计 选 
择 ， 这 些 选 择 明确 出 现在 需求 描述 中 。 你 
必须 为 需求 工程 过 程 的 结构 和 组 织 关系 做 
初始 设计 。 在 设计 过 程 当中 ， 你 还 会 发 现 
已 有 需求 的 新 问题 ， 同 时 还 会 有 新 的 需求 
冒 出 来 。 因 此 ， 你 可 以 将 这 两 个 相互 关联 
的 过 程 看 成 是 一 个 螺旋 ， 如 图 10-8 所 示 。 

螺旋 过 程 反映 了 这 样 的 事实 ， 即 需求 
影响 设计 决策 ， 反 过 来 设计 也 会 作用 于 需 
求 。 所 以 将 这 两 个 过 程 交织 在 一 起 是 有 意 
义 的 。 从 中 央 部 分 开始 ， 螺 旋 的 每 一 图 都 设计 文档 
会 增加 细节 内 容 到 需求 和 设计 。 有 些 环 集 NN 
中 于 需求 ， 而 有 些 环 集中 在 设计 。 有 时 ， A108 ROR ATT See 
LELEORCUL ae ee RENERT EREE, 

对 于 几乎 所 有 的 系统 ， 都 有 许多 可 能 的 设计 方案 ,包括 硬件 因素 、 软 件 因素 和 人 的 因素 的 多 
种 组 合 的 选择 。 有 进一步 开发 余地 的 解决 方案 也 许 是 最 适当 的 技术 方案 。 然而， 在 许多 情况 下 ， 
来 自 机 构 和 政治 上 的 影响 力 会 对 方案 的 选择 产生 举足轻重 的 作用 。 举 例 来 说 ， 如 果 系 统 是 为 政 
府 定制 的 ， 那 政府 可 能 较 喜 欢 让 本 国 的 供应 者 而 不 是 国外 的 三 商 去 做 ， 即 使 别 的 国家 的 产品 技 
术 更 好 。 这 些 影 响 总 是 要 在 螺旋 模型 中 的 复查 和 评估 阶段 发 生 作用 ， 而 此 时 需求 和 设计 就 有 可 
能 被 接受 也 有 可 能 讲 到 拒绝 。 当 复查 表明 需求 和 高 层 设计 已 经 足够 详细 ， 人 允许 子 系统 进行 描述 
和 设计 时 ， 本 过 程 就 可 以 结束 了 。 

在 子 系统 工程 阶段 ， 会 实现 系统 的 硬件 和 软件 组 件 。 对 于 一 些 类 型 的 系统 ， 比 如 航行 器 ， 所 
有 的 硬件 和 软件 组 件 都 在 开发 过 程 中 完成 设计 和 实施 。 但 是 对 于 大 多 数 系统 ， 有 些 组 件 属于 商 
业 现 货 系统 COTS) 。 购 买 现成 的 产品 通常 比 开发 专用 的 组 件 要 便宜 很 多 。 

不 同 的 子 系统 通常 是 并 行 开 发 的 。 当 出 现 了 超过 子 系统 范围 的 问题 ， 就 会 发 生 _ 个 系统 修 
改 的 请 求 。 当 系统 包括 很 多 昂贵 的 硬件 工程 时 ， 制 造 后 再 修改 的 成 本 往往 很 高 。 这 时 为 解决 问题 
就 会 千方百计 寻找 变通 方法 。 由 于 软件 的 固有 柔性， 这 些 变通 方法 会 涉及 软件 的 变更 。 

系统 集成 就 是 将 一 个 个 独立 开发 的 子 系统 集成 为 个 完整 的 大 系统 。 集 成 可 以 用 种 同时 
将 所 有 的 子 系统 集成 在 一 起 的 所 谓 “ 大 爆炸 ” 式 的 方法 。 然 而 ， 由 于 技术 上 和 管理 上 的 原因 ， 
增 量 式 集成 子 系统 的 过 程 是 最 恰当 的 方法 ， 该 集成 过 程 分 成 了 多 个 子 过 程 ， 每 个 集成 子 过 程 只 
集成 一 部 分 子 系统 : 

L 不同 子 系统 开发 的 时 间 是 无 法 准确 预计 的 ， 因 此 ， 不 大 可 能 在 同时 间 得 到 所 有 的 子 
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系统 。 

2， 增 量 式 集成 可 以 减少 错误 定位 的 成 本 。 如 果 许多 子 系统 同时 被 集成 ， 测 试 时 发 生 了 错误 
就 需要 在 这 些 子 系统 中 定位 。 若 将 单个 子 系统 集成 到 已 经 能 运行 的 系统 中 来 ， 一 旦 发 生 问题 ， 很 
明显 ， 所 发 生 的 错误 或 是 在 新 进入 的 子 系统 中 或 是 在 系统 和 新 进 人 的 子 系统 之 间 的 交互 当中 。 

随 着 越 来 越 多 的 子 系统 是 由 集成 COTS 硬件 和 软件 组 件 来 构成 的 ， 实 现 和 集成 之 间 的 区 别 越 
来 越 模糊 了 。 在 某 些 情况 下 ， 没 必要 开发 新 的 软 硬 件 ， 集 成 已 成 为 系统 实现 的 最 主要 工作 了 。 

在 集成 过 程 中 及 之 后 的 时 间 段 中 会 进行 系统 测试 。 测 试 要 侧重 组 件 之 间 的 借口 以 及 系统 整 
体 的 行为 。 这 会 不 可 加 免 地 暴露 单个 子 系统 的 问题 ， 必 须 进行 修复 。 

在 系统 集成 阶段 一 些 子 系统 故障 就 会 暴露 出 来 了 ， 这 些 故障 主要 是 源 于 对 其 他 子 系统 所 做 
的 一 些 无 效 假设 引起 的 。 这 些 可 能 引起 子 系统 的 承包 商 之 间 的 争论 。 当 问题 出 在 子 系统 之 间 的 
交互 中 时 ， 不 同 的 承包 商 可 能 相互 推卸 对 问题 的 责任 。 就 如 何 解决 问题 上 的 谈判 可 能 需要 花 上 
数 个 星期 或 数 月 的 时 间 。 

系统 开发 的 最 后 阶段 是 系统 交付 和 部 署 。 此 时 软件 已 经 安装 到 硬件 上 ， 做 好 一 切 运行 的 准 
备 。 这 会 涉及 系统 针对 其 使 用 环境 的 配置 ， 从 已 有 系统 的 数据 传输 以 及 用 户 文档 和 培训 的 准备 。 
在 此 阶段 ， 你 需要 重新 配置 环境 中 的 其 他 系统 来 确保 新 系统 能 和 它们 共同 运转 。 

虽然 原则 上 很 简单 ， 但 部 署 阶段 会 出 现 很 多 困难 。 用 户 环境 会 和 系统 开发 者 所 预期 的 有 所 
差异 ， 调 整 系 统 使 之 与 不 同 用 户 环境 相 适 应 并 非 易 事 。 现 有 数据 可 能 需要 大 面积 清理 ， 部 分 数据 
也 可 能 丢失 。 其 他 系统 的 接口 可 能 没有 完善 的 文档 。 

系统 开发 过 程 对 可 靠 性 和 信息 安全 性 的 影响 是 显而易见 的 。 有 关 可 靠 性 和 安全 性 的 需求 以 
及 在 成 本 、 进 度 、 性 能 和 可 靠 性 间 的 取 合 决定 都 是 在 此 阶段 做 出 的 。 所 有 阶段 出 现 的 人 为 错误 会 
向 系统 引入 错误 ， 这 会 在 运行 中 引发 系统 失败 。 测 试 和 认证 过 程 不 可 避免 地 受到 成 本 和 时 间 的 
AR, 因此， 系统 可 能 没有 得 到 全 面 的 测试 。 用 户 会 在 使 用 系统 的 过 程 中 完成 测试 。 最 终 ， 系 统 
开发 的 问题 会 意味 着 系统 和 其 运行 环境 有 所 不 符 。 这 些 会 导致 系统 使 用 中 的 人 为 错误 。 


10.5 系统 运行 


运行 过 程 包括 按照 系统 定义 的 目的 来 使 用 系统 。 例 如 航空 交通 管制 系统 的 操作 员 在 飞机 进入 或 
离开 领空 、 变 更 高 度 或 速度 、 发 生 紧急 情况 时 遵循 特定 的 流程 。 这 些 操作 过 程 必 须 在 系统 开发 时 进 
行 定义 并 撰写 文档 。 操 作 员 需要 进行 培训 ， 其 余 工 作 流程 要 做 出 调整 以 有 效 使 用 新 系统 。 由 于 系 
统 需求 描述 存在 问题 或 元 余 ， 在 此 阶段 会 暴露 出 未 检测 出 来 的 问题 。 尽 管 系统 是 按照 需求 描述 
运行 的 , 但 其 功能 可 能 和 实际 操作 需求 不 符 。 因 此 ， 操 作 员 不 会 像 设计 者 所 想 那 样 使 用 系统 。 

有 系统 操作 员 的 主要 好 处 是 人 员 对 意料 之 外 的 情况 有 很 好 的 应 对 能 力 ， 即 便 是 当 他 们 从 来 
没有 直接 经 历 过 这 些 情况 。 因 此 ， 当 系统 出 现 问题 ， 操 作 员 通常 可 以 解决 该 情况 ， 尽 管 有 时 这 会 
导致 定义 的 过 程 被 破坏 。 操 作 员 还 会 运用 自己 的 知识 来 适应 和 改进 过 程 ， 通 常 实际 运行 过 程 与 
系统 设计 师 所 预期 的 过 程 有 所 差异 。 

因此 ， 我 们 要 将 运行 过 程 设计 得 灵活 且 可 调整 。 运 行 过 程 不 应 该 包括 太 多 的 约束 ， 也 不 应 该 
对 操作 顺序 有 过 多 的 要 求 ， 系 统 软 件 不 应 该 依赖 于 遵循 特殊 的 过 程 。 由 于 操作 员 知 道 实际 情况 
中 哪些 可 以 或 不 可 以 正常 工作 ， 因 此 他 们 通常 可 以 改进 该 过 程 。 

有 一 个 问题 只 有 在 系统 投入 使 用 后 才 会 出 现 ， 就 是 新 系统 和 现 有 系统 共同 工作 的 问题 。 可 
能 会 是 不 兼容 的 问题 ， 也 可 能 是 系统 间 数 据 传输 的 困难 。 不 同系 统 用 户 界面 的 区 别 也 可 能 产生 
更 细微 的 问题 。 由 于 操作 员 错误 地 使 用 另 一 个 系统 的 用 户 交 互 指令 ， 新 系统 的 引入 会 增加 操作 
员 的 失误 率 。 
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10.5.1 人 为 错误 


前 面 介 绍 过 ， 非 确定 性 是 社会 技术 系统 的 重要 问题 ， 其 中 一 个 原因 是 系统 中 的 人 员 不 会 总 
是 做 出 同样 的 行为 。 有 时 他 们 在 使 用 系统 过 程 中 犯错 误 ， 这 可 能 引发 系统 失败 。 例 如 ， 一 个 操作 
忘记 记录 某 些 发 生 的 操作 ， 另 一 个 操作 员 (错误 地 ) 重复 了 这 个 操作 。 如 果 这 个 操作 是 借 记 
或 银行 贷款 ， 那 么 由 于 账户 总 量 错误 ， 系 统 会 失败 。 

正如 Reason 所 讨论 (2000) 的 那样 ， 人 为 错误 总 会 发 生 ， 可 以 从 两 个 角度 来 看 待 这 个 问题 ; 

1. 人 的 方法 ”错误 被 认为 是 个 人 的 责任 ,而 “不 安全 行为 ” (如 操作 员 没 有 使 用 安全 防护 
栏 ) 是 个 人 朴 忽 或 不 计 后 果 行 为 。 采 用 这 个 视角 的 人 通常 认为 人 为 错误 可 以 通过 更 多 的 训练 、 
更 严格 的 程序 和 重新 训练 内 容 等 来 减少 。 他 们 认为 错误 是 犯错 人 的 责任 。 

2. 系统 的 方法 ”这 个 角度 是 基于 人 会 犯错 误 也 允许 犯错 误 的 假设 。 系 统 设计 的 错误 决定 会 
导致 错误 的 工作 方式 ， 机 构 的 因素 也 会 影响 到 系统 操作 员 ， 这 些 会 引发 人 员 出 错 。 好 的 系统 应 该 
可 以 识别 人 为 错误 ， 同时 包括 检测 人 为 错误 的 保障 系统 并 人 允许 系统 在 失败 发 生前 进行 自我 修复 。 
如 果 发 生 系统 失败 ， 不 应 寻找 个 人 为 此 负责 ， 而 是 要 了 解 系统 方面 为 什么 没有 能 够 拦截 该 错误 。 

系统 角度 才 是 正确 的 视角 ， 系 统 工程 师 要 假设 系统 运作 时 会 发 生 人 为 错误 。 因 此 ， 为 了 提高 
系统 的 信息 安全 性 和 可 靠 性 ， 设 计 师 要 考虑 在 系统 中 加 入 人 为 错误 的 防范 措施 。 同 时 ， 他 们 需要 
考虑 这 些 防范 措施 是 否 应 该 构建 到 系统 的 技术 组 件 中 去 。 如 果 不 需 要 ,那么 这 些 措施 要 包含 在 
使 用 系统 的 过 程 中 ， 或 者 作为 操作 员 的 指南 ， 依 赖 于 人 为 的 检查 和 判断 。 

下 面 是 系统 中 包含 防范 措施 的 几 个 例子 ; 

l. 航空 交通 管制 系统 包含 一 个 自动 冲突 报警 系统 。 当 指挥 员 指挥 一 架 飞机 改变 其 速度 或 高 
度 时 ， 系 统 推断 其 轨道 并 检测 是 否 与 其 他 飞机 轨道 交叉 。 如 果 是 ， 响 铃 警报 。 

2. 该 系统 包含 一 个 定义 清晰 的 流程 以 记录 做 出 的 控制 指令 。 指 挥 员 可 以 通过 这 些 流程 来 检 
查 自己 是 否 正 确 下 达 指 令 ， 其 他 人 员 亦 可 检查 这 些 信息 。 

3. 航空 交通 指挥 通常 包括 一 组 自始至终 监控 其 他 人 工作 的 指挥 员 。 因 此 ， 当 发 生 了 一 个 错 
误 ， 在 事故 发 生 之 前 就 会 被 发 现 。 

所 有 的 安全 保证 措施 都 不 可 避免 地 存在 某 些 缺陷 。Reason 称 其 为 “潜在 条 件 ”"， 因 为 它们 通 
常 只 会 当 其 他 问题 发 生 时 才 引 发 系统 失败 。 例 如 ， 在 上 述 防范 措施 中 ， 冲 突 警 报 系统 的 缺陷 在 于 
它 可 能 会 造成 很 多 假 警报 。 指 挥 员 会 因此 忽略 系统 的 警报 。 过 程 系统 的 缺陷 是 不 能 简单 地 记录 
那些 不 常见 但 很 关键 的 信息 。 当 所 有 的 人 都 处 于 紧张 状态 时 会 犯 同 样 的 错误 ， 此 时 人 为 检查 会 
失效 。 

在 系统 内 防范 措施 没 能 有 效 拦截 系统 操作 员 的 失误 时 ， 潜 在 条 件 会 导致 系统 失败 。 人 为 错 
误 是 失败 的 触发 器 ， 但 不 应 该 认为 是 失败 产生 的 唯一 原因 。Reason 用 其 著名 的 系统 失败 “瑞士 
奶酪 ”模型 解释 了 这 一 点 ( 见 图 10-9) 。 


活动 的 失败 
6. END» L7 (人 为 错误 ) 
En $ 


系统 失败 防范 措施 


图 10-9 Reason 的 系统 失败 瑞士 奶酪 模 型 
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这 个 模型 把 系统 内 建 的 防范 措施 比 作 一 片 瑞士 奶 酷 。 有 些 种 类 的 瑞士 奶 酷 会 有 很 多 孔 ， 比 
如 瑞士 多 孔 干 酪 ， 类 似 的 ， 这 些 潜 在 条 件 就 是 奶酪 片上 的 孔 。 奶 酷 上 和 孔 的 位 置 不 是 固定 的 ， 而 是 
随 着 整个 社会 技术 系统 的 状态 而 改变 的 。 如 果 每 一 片 瑞士 奶酪 代表 一 层 防范 措施 ， 当 某 一 位 置 
所 有 的 孔 对 齐 时 会 出 现 失败 ， 造 成 人 为 操作 错误 。 系 统 运 行 的 一 个 主动 失败 会 从 孔 中 穿 过 并 导 
致 整体 系统 的 失败 。 
当然 ， 通 常 这 些 孔 并 不 是 对 齐 的 ， 因 此 运行 失败 会 被 系统 拦截 。 为 了 减少 人 为 错误 引发 系统 
失败 的 可 能 人 性， 设计 师 应 该 : 
1. 设计 一 个 包含 多 种 防范 措施 的 系统 。 这 就 意味 着 “和 孔 ” 会 在 分 布 在 不 同 的 位 置 ， 从 而 降 
低 所 有 的 孔 对 齐 、 无 法 拦截 错误 的 可 能 性 。 
2. 最 小 化 系统 中 的 潜在 条 件数 ， 即 减少 系统 “和 孔 ”的 大 小 和 数目 。 
. 系统 的 整体 设计 还 应 该 尝试 避免 触发 系统 失败 的 那些 主动 失败 。 这 可 能 包括 设计 运行 过 程 
”及 系统 ， 以 确保 操作 员 不 会 过 度 工作 、 分 神 或 被 过 多 的 信息 所 淹没 。 


10.5.2 系统 进化 


大 型 和 复杂 的 系统 都 会 有 一 个 非常 长 的 生存 期 。 在 整个 生存 期 内 ， 必 须 改进 原先 系统 需求 
中 的 错误 进而 满足 出 现 的 新 需求 。 系 统 中 的 计算 机 设备 更 新 是 有 可 能 的 。 使 用 系统 的 机 构 可 能 
重新 改组 并 且 因 此 以 一 不 同 的 方式 使 用 系统 。 系 统 的 外 部 环境 可 能 改变 ， 所 有 这 些 都 会 要 求 系 
统 随 之 变化 。 因 此 ， 系 统 为 适应 环境 变化 而 做 出 的 进化 是 系统 运行 过 程 中 的 一 环 。 系 统 进化 包括 
重新 进 人 开发 流程 做 出 改变 、 系 统 软 硬件 的 扩展 及 运行 过 程 。 

像 软 件 进化 一 样 ， 系 统 进化 是 昂贵 的 ， 其 原因 如 下 : 

1. 必须 从 业务 和 技术 的 角度 对 提议 的 变更 做 仔细 的 分 析 。 在 变更 生效 之 前 必须 经 过 有 关 和 大 
员 的 认同 。 

2. 因为 子 系统 都 不 是 孤立 存在 的 ， 对 一 个 子 系统 的 变更 可 能 造成 其 他 子 系统 的 性 能 或 行为 
的 负面 影响 。 困 此 ， 对 其 他 子 系统 的 相应 变更 可 能 是 需要 的 。 

3. 最初 设 计 决 策 的 理由 时 常 未 被 记录 。 把 一 个 特别 的 设计 决策 产生 的 原因 找 出 来 ， 这 对 于 
系统 进化 是 有 意义 的 。 

4. 当 系 统 运行 相当 长 时 间 以 后 ， 其 结构 被 修改 得 复杂 而 凌乱 ， 系 统 进化 的 成 本 进一步 增加 。 


© anra 


遗留 系统 是 以 计算 机 为 基础 的 社会 技术 系统 ， 它 们 是 在 过 去 开发 出 来 的 ， 往 往 采 用 的 是 
今天 看 来 是 旧 的 和 不 再 使 用 的 技术 。 这 些 系统 不 仅 包括 硬件 和 软件 ， 还 包括 遗留 的 过 程 和 程 
序 ， 即 一 些 老 的 做 事 方 法 ， 由 于 依赖 于 遗留 软件 而 很 难 加 以 改变 。 对 此 类 系统 其 中 茶 一 部 分 
的 改变 都 会 带 来 对 其 他 组 件 的 改变 。 遗 留 系统 通常 都 是 关键 性 业务 系统 。 维 护 它们 的 原因 就 
是 更 摘 它 们 需要 冒 太 大 的 风险 。 

http://www. SoftwareEngineering-9. com/LegacySys/ 














随时 间 推 移 而 进化 的 系统 往往 是 依赖 于 上 昌 的 硬件 和 软件 技术 。 如 果 系 统 在 机 构 中 占有 至 关 
重要 的 地 位 的 话 ， 我 们 就 称 其 为 “遗留 系统 ”。 这 些 系统 通常 是 机 构想 替换 的 ， 但 是 考虑 到 替换 
的 风险 和 代价 ， 无 法 进行 替换 。 

从 可 靠 性 和 信息 安全 性 的 角度 来 说 ， 系 统 的 变更 通常 会 导致 问题 和 缺陷 。 如 果实 施 变更 人 
员 并 非 参 与 系统 开发 的 人 员 ， 他 们 会 忽略 那些 考虑 到 可 靠 性 和 信息 安全 性 的 因素 而 做 出 设计 决 
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定 。 因 此 ， 他 们 会 变更 系统 ， 并 且 破 坏 系统 构建 时 所 实施 的 安全 屏障 。 此 外 ， 由 于 测试 费用 昂 
贵 ， 不 可 能 在 每 个 变更 完成 后 进行 完全 的 测试 ， 导 致 变更 对 系统 组 件 造 成 或 引入 的 错误 不 能 被 
发 现 。 


要 点 

a 社会 技术 系统 是 机 构 内 部 的 包括 计算 机 硬件 、 软 件 和 人 的 系统 。 设 计 它 们 是 为 了 支持 机 构 
或 业务 目标 。 

m 人 和 机 构 因素 〈 例 如 机 构 结构 和 管理 ) 对 社会 技术 系统 的 运行 有 绝对 的 影响 。 

m 系统 的 整体 特性 是 系统 作为 一 个 整体 表现 出 来 的 特性 而 不 是 各 个 组 件 部 分 的 特性 。 这 些 特 
性 包括 性 能 、 可 靠 性 、 可 用 性 、 安 全 性 和 信息 安全 性 等 。 系 统 的 成 功 或 失败 时 常 依赖 于 这 
些 系统 特性 。 

a 系统 工程 的 基本 过 程 是 系统 采购 、 系 统 开发 和 系统 运作 。 

a 系统 采购 涵盖 决定 购买 什么 系统 、 由 谁 来 提供 系统 的 所 有 活动 。 采 购 流程 也 包括 定义 高 层 
需求 。 

m 系统 开发 包括 需求 描述 、 设 计 、 构 建 、 集 成 和 测试 。 系 统 集成 将 多 个 供应 商 提供 的 子 系统 
集成 在 一 起 ， 因 此 这 个 环节 十 分 关键 。 

m 当 系统 投入 使 用 ， 运 行 过 程 及 系统 本 身 需 要 做 出 相应 的 变更 以 满足 业务 需求 的 变更 。 

m 人 为 错误 是 不 可 避免 的 ， 系 统 应 该 包含 可 以 在 系统 失败 前 检测 到 错误 的 安全 防范 措施 。 
Reason 的 瑞士 奶酪 模型 解释 了 人 为 错误 与 安全 屏障 的 潜在 缺陷 是 如 何 导致 系统 失败 的 。 


进一步 阅读 材料 

(Airport 95; Antomated baggage system》， 是 一 本 非常 棱 的 而 且 具 有 较 好 可 读 性 的 书 ， 全 书 侧重 
两 个 方面 : 一 是 对 系统 工程 项 目 中 容易 出 问题 的 地 方 ; 二 是 对 系统 失败 所 招致 的 软件 责难 进行 了 透 
析 (ACM Software Engineering Notes, 21, March 1996 ) http://doi. acm. org/10. 1145/227531. 227544 , 

(Software system engineering: A tutorial》， 这 是 一 篇 很 好 的 软件 工程 综述 文章 ， 尽 管 Thayer 只 
关注 于 基于 计算 机 的 系统 ， 并 没有 讨论 社会 技术 方面 的 问题 (R. H. Thayer, IEEE Computer, 
April 2002) , http;//dx. doi. org/10. 1109/MC. 2002. 993773, 

(Trust in Technology: A socio-technical Perspective) , 3X JE — 4k 关 社 会 技术 系统 的 可 靠 性 的 
论文 集 (K. Clarke, G. Hardstone, M. Rouncefield and I. Sommerville (eds. ) , Springer, 2006) , 

(Fundamentals of Systems Engineerings》， 这 是 NASA 系统 工程 手册 的 绪论 。 表 述 了 航天 系 
统 的 系统 工程 过 程 。 昌 然 多 数 是 技术 系统 ， 但 是 这 当中 依然 存在 一 些 社会 技术 因素 需要 考虑 。 
可 靠 性 显然 十 分 重要 (In NASA Systems Engineering Handbook, NASA- SP2007- 6105 ,2007 ) 。 
http; //education. ksc. nasa. gov/esmdspacegrant/Documents/NASA% 20P- 2007- 610596 201% 
20Final% 2031 Dec2007. pdf, 


练习 


10. 1 举 出 两 个 由 复杂 社会 技术 系统 支持 的 政府 功能 ， 并 解释 为 什么 这 些 功 能 不 能 完全 自动 完成 。 

10.2 解释 为 什么 基于 计算 机 的 系统 所 安装 的 环境 可 能 对 系统 有 不 可 预知 的 影响 并 导致 系统 失败 。 请 用 不 
同 于 本 章 描述 的 例子 阐述 你 的 观点 。 

10.3 ”为 什么 不 能 从 系统 组 件 的 特性 来 推断 整个 复杂 系统 的 总 体 特性 ? 

10.4 为 什么 有 时 很 难 判断 社会 技术 系统 是 否 发 生 了 系统 失败 ? 试用 之 前 讨论 过 的 MHC- PMS 为 例 阐述 你 
的 观点 。 
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什么 是 “ 极 复杂 问题 "? 解释 为 什么 开发 全 国医 疗 记录 系统 会 出 现 “ 极 复杂 问题 "。 
欧洲 博物 馆 协 会 准备 开发 一 套 博 物 馆 多 媒体 系统 提供 古 希腊 的 虚拟 体验 。 该 系统 通过 一 个 标准 的 
Web 浏览 器 让 用 户 观 看 三 维 古 希腊 模型 ， 也 提供 沉浸 式 虚 拟 现实 体验 。 在 博物 馆 协 会 内 部 的 各 个 博 
物 馆 安 装 此 系统 会 遇 到 哪些 政治 和 机 构 方面 的 困难 ? 
为 什么 说 系统 集成 是 系统 开发 过 程 的 关键 环节 。 举 出 3 个 可 能 导致 系统 集成 出 现 问 题 的 社会 技术 系 
统 因素 。 

解释 为 什么 遗留 系统 对 于 业务 运行 是 至 关 重要 的 。 
像 电气 工程 或 软件 工程 一 样 ， 把 系统 工程 视 为 一 个 独立 学 科 ， 其 赞成 的 理由 和 反对 的 理由 各 是 什么 ? 


10.10 设想 你 是 一 个 参与 金融 系统 开发 的 工程 师 。 安 装 过 程 中 ， 你 发 现 这 个 系统 将 会 使 很 多 人 成 为 元 员 。 


相关 人 员 抵 制 你 访问 必要 的 信息 以 完成 系统 的 安装 。 作 为 一 个 系统 工程 师 你 应 该 在 多 大 程度 上 涉 入 
这 件 事 ? 按 合 同 中 规定 的 那样 完成 安装 是 你 的 专业 责任 吗 ? 还 是 应 该 简单 地 放弃 工作 直到 用 户 单位 
解决 这 个 问题 ? 
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目标 

本 章 的 目标 是 介绍 软件 可 依赖 性 和 信息 安全 性 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 

u 理解 为 什么 一 个 软件 系统 中 可 依赖 性 和 信息 安全 性 通常 比 功能 特性 更 重要 ; 

m 理解 可 依赖 性 的 4 个 主要 方面 ， 也 就 是 可 用 性 、 可 靠 性 、 安 全 性 和 信息 安全 性 ; 

m 了 解 在 讨论 信息 安全 性 和 可 依赖 性 问题 时 所 用 到 的 专门 术语 ; 

m 理解 想 要 得 到 一 个 保密 、 可 靠 的 软件 ， 就 需要 在 软件 开发 阶段 避免 错误 ， 在 系统 使 用 当中 

检测 和 排除 错误 ， 还 要 限制 由 于 系统 失败 造成 的 损失 。 

随 着 计算 机 系统 已 经 深入 到 我 们 的 业务 和 个 人 生活 当中 ,系统 与 软件 的 失败 所 带 来 的 问题 
也 在 增加 。 一 个 电子 商务 公司 的 服务 软件 的 失败 有 可 能 导致 收入 上 较 大 的 损失 ,并 有 可 能 殊 及 
这 家 公司 的 顾客 。 一 个 嵌入 到 汽车 上 的 控制 软件 发 生 错 误 可 能 会 导致 郧 贵 的 召回 和 维修 费用 ， 
并 且 在 最 坏 的 情况 下 ， 可 能 成 为 导致 意外 事故 的 因素 之 一 。 公 司 里 的 电脑 如 果 被 恶意 代码 感染 ， 
则 需要 昂贵 的 清除 操作 以 找 出 问题 所 在 并 可 能 导致 损失 或 敏感 信息 的 毁坏 。 

因为 软件 密集 型 系统 对 于 政府 、 公 司 和 个 人 都 如 此 重要 ， 所 以 广泛 使 用 的 软件 必须 是 可 信 
赖 的 。 这 种 软件 应 该 在 需要 时 是 可 用 的 ， 并且 应 该 能 够 正确 地 工作 且 不 会 出 现 不 受 欢 迎 的 副 作 
用 ,例如 未 授权 的 信息 泄露 。“ 可 依赖 性 ” (dependability) 这 个 概念 是 由 Laprie (Laprie, 1995) 
提出 来 的 ， 指 的 是 系统 的 可 用 性 、 可 靠 性 、 安 全 性 和 信息 安全 性 。 正 如 11.1 节 所 讨论 的 ， 这 些 
属性 是 交织 在 一 起 的 ， 所 以 用 一 个 词 来 覆盖 它们 是 有 意义 的 。 

以 下 几 点 理由 说 明了 系统 的 可 依赖 性 现在 通常 比 它们 的 具体 功能 更 加 重要 : 

1. 系统 失败 影响 到 的 人 数 众 多 很 多 系统 中 包含 了 一 些 很 少 被 使 用 的 功能 。 如 果 这 些 功能 
被 从 系统 中 除 掉 ， 只 有 一 小 部 分 人 会 受 影响 。 而 影响 系统 可 用 性 的 系统 失败 潜在 地 影响 所 有 使 
用 系统 的 用 户 。 系 统 失败 可 能 意味 着 正常 的 业务 无 法 进行 。 

2. 如 果 系 统 是 不 可 靠 的 、 不 安全 的 或 是 不 保密 的 ， 那 用 户 往往 会 拒绝 使 用 它 。 如 果 用 户 不 
信任 一 个 系统 ， 他 们 就 会 拒绝 使 用 它 。 更 有 甚 者 ， 他 们 还 有 可 能 拒绝 购买 和 使 用 来 自 同一 个 公司 
的 其 他 产品 ， 因 为 他 们 认为 所 有 的 系统 可 能 都 是 这 样 不 可 信任 。 

3. 系统 失败 的 代价 可 能 是 巨大 的 ”对 于 某 些 应 用 ， 例 如 反应 堆 控 制 系统 或 者 飞机 导航 系统 ， 
系统 失败 的 代价 要 比 一 般 控制 系统 的 失败 大 好 几 个 数量 级 。 

4. 靠不住 的 系统 能 导致 信息 流失 ”数据 收集 和 维护 的 成 本 很 高 ， 有 时 甚至 比 处 理 它 的 计算 
机 系统 还 贵 。 恢 复 丢失 的 或 被 损坏 的 数据 所 需要 的 花费 往往 非常 高 。 

正如 第 10 章 中 所 讨论 的 ， 软 件 通 常 是 一 个 大 的 系统 中 的 一 部 分 。 它 在 一 个 运行 环境 下 执行 ， 
这 个 环境 中 包括 有 能 令 软 件 在 其 上 执行 的 硬件 、 软 件 的 使 用 者 ， 还 有 机 构 过 程 或 业务 过 程 。 因 此 
当 设计 一 个 可 依赖 的 系统 时 ， 我 们 需要 考虑 : 

1 硬件 失败 ”系统 硬件 失败 有 可 能 是 源 自 设计 上 的 失误 ， 也 可 能 源 自 组 件 加 工 制造 中 的 问 
题 ， 或 者 是 硬件 组 件 已 达到 它们 的 使 用 年 限 了 。 

2. 软件 失败 ”系统 软件 问题 可 能 是 由 于 描述 、 设 计 和 实现 中 的 错误 。 

3. 操作 失败 ”系统 的 操作 人 员 未 能 正确 地 使 用 系统 。 因 为 硬件 和 软件 正在 逐渐 变 得 可 靠 ， 
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所 以 操作 上 的 失败 就 成 为 最 大 的 一 个 引起 系统 失败 的 原因 了 。 







Q aranna 
有 些 类 型 的 系统 是 “要 求 极 高 的 系统 ” (critical system) ， 如 果 系 统 失败 会 造成 人 身 伤害 : 
环境 破坏 ， 或 大 规模 经 济 损 失 。 要 求 极 高 的 系统 的 例子 包括 : 嵌入 在 医疗 设备 中 的 系统 ， 上 比 
如 胰岛 素 泵 (安全 性 要 求 极 高 的 系统 ) ， 字 宙 飞 船 的 导航 系统 (任务 要 求 极 高 的 系统 )， 在 线 
转账 系统 〔 业 务 要 求 极 高 的 系统 ) 。 

要 求 极 高 的 系统 开发 费用 非常 昂贵 。 不 只 因为 它们 必须 被 开发 为 失败 概率 非常 小 的 系统 ， 
还 因为 它们 必须 包含 当 失 败 发 生 的 时 候 需 要 使 用 到 的 恢复 机 制 。 
http://www. SoftwareEngineering-9. com/Web/ Dependability/ CritSys. html 








这 些 失 败 可 能 是 相互 关联 的 。 硬 件 组 件 的 失败 可 能 需要 系统 操作 员 不 得 不 处 理 不 可 预料 的 
情况 ， 因 而 增加 了 人 额外 的 负荷 ， 这 使 得 他 们 精神 紧张 一 一 人 在 这 种 紧张 情况 下 更 容易 出 错 。 这 又 
会 导致 软件 失败 ， 软 件 失败 又 意味 着 需要 操作 员 做 更 多 的 工作 ， 神 经 更 加 紧张 ， 等 等 。 

由 此 看 来 ， 对 于 开发 可 靠 的 、 软 件 密集 型 系统 的 设计 者 来 说 尤其 重要 的 是 要 有 系统 观 ， 不 能 
只 注意 系统 的 某 个 局 部 。 如 果 系 统 的 硬件 、 软 件 和 操作 过 程 的 设计 是 孤立 考虑 的 ， 一 个 部 分 的 设 
计 者 没有 注意 到 其 他 部 分 的 潜在 弱点 ， 那 么 就 有 可 能 在 系统 的 各 组 件 接口 处 出 错 。 


11.1 可 依赖 性 特征 


我 们 都 知道 计算 机 系统 失败 是 怎么 一 回 事 。 在 没有 明显 原因 的 情况 下 ,计算 机 系统 有 时 会 
崩 演 或 者 出 错 。 在 计算 机 上 运行 的 程序 没有 像 预料 的 那样 执行 ， 有 时 可 能 损坏 系统 中 的 数据 。 我 
们 已 经 习惯 了 这 些 失 败 ， 很 少 有 人 完全 信任 所 使 用 的 计算 机 。 

计算 机 系统 的 可 依赖 性 是 衡量 其 可 信赖 度 (trustworthiness〉 的 性 能 指标 。 可 信赖 度 表 现 为 用 
户 对 系统 的 信任 程度 ， 系 统 是 否 能 按照 他 们 预期 的 那样 操作 以 及 系统 是 否 会 在 正常 使 用 中 失败 。 
以 数值 量化 可 依赖 性 没有 多 大 意义 ， 相 反 ， 我 们 将 其 分 为 这 样 几 个 层次 :“ 不 可 依赖 ”、“ 非 常 可 
依赖 "、“ 极 度 可 依赖 ”。 

可 信赖 和 有 用 不 是 一 回 事 。 写 这 本 书 所 用 的 字 处 理 咒 在 作者 看 来 不 是 很 可 靠 ， 它 有 时 会 死 
机 而 需要 重启 。 尽 管 如 此 ， 因 为 它 很 好 用 ， 所 以 作者 可 以 容忍 偶尔 的 失败 。 然 而 作者 对 这 个 系统 
的 不 信赖 可 能 反 酉 为 ， 作 者 要 很 频繁 地 进行 存盘 操作 并 保存 文档 的 多 个 拷贝 。 作 者 通过 限制 系 
统 失败 带 来 的 损失 来 弥补 系统 的 可 依赖 性 上 的 不 足 。 

如 图 11-1 所 示 ， 系 统 的 可 依赖 性 有 4 个 主要 方面 : 





在 怖 要 时 系统 能 够 系统 能 够 提供 指 系统 的 运行 不 会 发 生 ”系统 能 够 防御 意外 或 
提供 服务 的 能 力 定 的 服务 的 能 力 灾难 性 的 失败 的 能 力 ”恶意 的 攻击 的 能 力 


图 11-1 主要 的 可 依赖 性 特征 
1. 可 用 性 一 般 来 讲 ， 系 统 的 可 用 性 是 指 系 统 在 任何 时 间 都 能 运行 并 能 够 提供 有 用 服务 的 
可 能 性 。 
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2. 可靠 性 一 般 来 讲 ， 系 统 的 可 靠 性 是 系统 在 给 定 的 时 段 内 能 正确 提供 用 户 希 望 的 服务 的 
可 能 性 。 

3， 安 全 性 一 般 来 讲 ， 系 统 的 安全 性 是 判断 系统 将 会 对 人 和 系统 的 环境 造成 伤害 的 可 能 性 。 

4. 信息 安全 性 保密 性 ”一般 来 讲 ， 系 统 的 信息 安全 性 是 判断 系统 能 抵抗 意外 的 或 蓄意 的 人 
侵 的 可 能 性 。 

图 11-1 所 示 的 可 依赖 性 特征 都 很 复杂 ， 它 们 可 以 分 解 为 一 些 其 他 更 简单 的 属性 。 例 如 ; 信 
息 安全 性 包括 完整 性 (保证 系统 程序 和 数据 没有 损坏 ) 、 机 密 性 (保证 信息 只 能 由 得 到 授权 的 人 
访问 )。 可 靠 性 包括 正确 性 (保证 系统 服务 按照 所 定义 的 那样 )、 精 确 性 (保证 信息 按照 需要 的 
细节 层次 传送 ) 和 及 时 性 (保证 信息 能 在 规定 的 时 间 内 传送 到 ) 。 

当然 ， 这 些 可 依赖 性 属性 不 是 对 所 有 系统 都 是 同样 重要 的 。 在 第 1 章 所 介绍 的 胰岛 素 泵 系统 
中 ， 最 为 重要 的 属性 是 可 用 性 (在 需要 的 时 候 必 须 可 用 ) 、 可 靠 性 〈 它 必须 传输 正确 剂量 的 胰岛 
R) 和 安全 性 〈 决 不 能 传输 危险 剂量 的 胰岛 素 ) 。 在 这 里 ， 信 息 安 全 性 就 不 是 个 问题 了， 因为 泵 
不 维护 机 密 信 息 ， 也 不 在 网 络 环境 下 工作 ， 所 以 不 会 受到 恶意 攻击 。 对 于 野外 气象 系统 ， 可 用 性 
和 可 靠 性 是 最 重要 的 特性 ， 因 为 维修 的 费用 是 非常 高 的 。 对 于 病人 信息 系统 ， 信 息 安全 性 是 特别 
重要 的 ， 因 为 其 维护 的 都 是 敏感 的 私人 数据 。 

除了 这 4 个 主要 方面 外 ， 我 们 还 可 以 认为 可 依赖 性 包括 如 下 其 他 的 一 些 性 质 . 

1. 可 维修 性 ”系统 失败 是 不 可 避免 的 ， 但 是 如 果 系 统 可 以 很 快 修复 的 话 ， 系 统 失 败 而 导致 
的 月 省 就 可 以 尽量 避免 。 为 了 做 到 这 一 点 ， 就 必须 能 诊断 闻 题 ， 找 到 失败 的 组 件 并 加 以 修复 。 提 
高 软件 的 可 维修 性 需要 使 用 系统 的 机 构 能 够 获取 软件 源 代 码 ， 并 有 修改 代码 的 能 力 。 开 源 软 件 
在 这 这 一 点 上 更 容易 一 些 ， 但 是 对 组 件 的 复 用 会 使 得 做 到 这 一 点 更 困难 。 

2. 可 维护 性 ”在 系统 使 用 过 程 中 新 需求 会 不 断 出 现 ， 改 变 它 使 之 保持 有 用 性 ， 不 断 适应 新 
需求 就 变 得 相当 重要 。 可 维护 软件 能 够 以 低 成 本 的 修改 来 应 对 新 需求 ， 而 且 在 修改 过 程 中 引入 
新 错误 的 可 能 性 比较 小 。 

3. 生存 能 力 ” 基 于 互联 网 的 系统 的 一 个 非常 重要 的 属性 就 是 生存 能 力 〈Ellison 等 ，1999b) 。 
生存 能 力 是 系统 在 受到 攻击 的 情况 下 甚至 在 部 分 系统 已 经 瘫痪 的 情况 下 能 继续 提供 服务 的 能 力 。 
提高 生存 能 力主 要 是 识别 关键 系统 组 件 并 保证 它们 能 提供 最 低 服 务 。 有 3 个 策略 用 于 增强 系统 生 
存 能 力 : 抵御 攻击 、 攻 击 识别 和 从 攻击 造成 的 毁坏 中 恢复 (Ellison 等 ，1999a; Ellison 等 ， 
2002) 。 第 14 章 将 更 详细 地 讨论 这 一 点 。 

4. 容错 ”这 可 以 看 成 是 可 用 性 的 一 部 分 ， 反映 为 在 多 大 程度 上 系统 的 设计 能 避免 用 户 输入 
错误 并 在 输入 有 错时 能 够 容忍 错误 的 存在 。 当 用 户 发 生 错 误 时 ， 系 统 应 该 尽量 检测 这 些 错 误 ， 而 
且 要 人 么 能 够 自动 修改 错误 要 么 请 求 用 户 重新 输入 数据 。 

系统 可 依赖 性 的 概念 是 作为 一 个 全 面 的 属性 来 介绍 的 ， 因 为 它 的 可 用 性 、 信 息 安全 性 、 可 靠 
性、 安全 性 这 些 属性 都 是 紧密 联系 的 。 安 全 的 系统 运行 通常 需要 系统 是 可 用 地 并 且 吕 靠 地 运行 。 
一 个 系统 可 能 由 于 一 个 人 侵 者 破坏 了 它 的 数据 而 变 得 不 可 靠 。 对 一 个 系统 的 拒绝 服务 攻击 其 目 
的 是 损坏 系统 的 可 用 性 。 如 果 一 个 系统 被 病毒 感染 了 ， 你 就 不 能 再 对 它 的 可 靠 性 和 安全 性 有 信 
心 ， 因 为 病毒 可 能 会 改变 系统 的 行为 。 

为 开发 一 个 可 靠 软件 ， 你 需要 做 到 : 

l. 避免 在 软件 描述 和 开发 过 程 中 引 人 意 外 的 错误 。 

2. 设计 检验 和 有 效 性 验证 过 程 ， 使 之 能 够 有 效 地 发 现 影 响 系统 可 靠 性 的 残余 错误 。 

3. 设计 保护 机 制 防范 能 够 损坏 系统 的 可 用 性 和 信息 安全 性 的 外 部 攻击 。 

4. 正确 地 配置 部 署 的 系统 和 它 的 支持 软件 ， 以 提供 良好 的 运行 环境 。 

另外 ， 你 通常 应 该 假设 你 的 软件 并 不 完美 ， 并 且 软 件 失败 有 可 能 会 发 生 。 因 此 你 的 系统 应 该 
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包含 能 够 尽快 恢复 通用 系统 服务 的 复原 机 制 。 

容错 的 需求 意味 着 可 靠 的 系统 必须 包含 元 余 代 码 用 以 监视 系统 本 身 ， 探 测 错误 状态 ， 并 且 
在 失败 发 生 之 前 从 错误 中 恢复 。 这 会 影响 到 系统 的 表现 ， 当 每 次 系统 执行 时 都 要 做 额外 检查 。 因 
Jt, 设计 者 总 是 要 在 系统 性 能 和 可 依赖 性 两 者 之 间 做 出 折 中 。 你 可 能 因为 系统 运行 速度 变 慢 而 
弃 用 系统 检查 。 然 而 ， 随 之 而 来 的 风险 是 由 于 一 些 缺 陷 没有 被 发 现 而 导致 发 生 一 些 失 败 。 

因为 额外 的 设计 、 实 现 和 有 效 性 验证 成 本 ， 加 强 系 统 可 依赖 性 会 大 大 增加 开发 成 本 。 尤 其 是 
对 于 需要 过 度 可 依赖 性 的 系统 ， 如 安全 性 要 求 极 高 的 控制 系统 ， 有 效 性 验证 的 成 本 会 非常 高 。 除 
了 需要 检验 系统 符合 其 需求 定义 外 ， 还 需要 向 外 部 管理 者 证 明 系 统 是 安全 的 。 例 如 ， 航 空 器 系统 
必须 向 外 部 管理 者 比如 国家 航空 管理 局 证 明 系 统 是 安全 的 ， 影 响 到 飞行 器 的 安全 的 灾难 性 系统 
失败 发 生 的 概率 是 极端 低 的 。 

图 11-2 给 出 了 成 本 和 对 可 依赖 性 渐 增 改 
善之 间 的 关系 。 如 果 你 的 软件 可 依赖 性 不 是 很 
高 ， 你 可 以 通过 更 好 的 软件 工程 方法 用 较 低 的 
代价 显著 提高 你 的 软件 。 然 而 如 果 你 已 经 使 用 
了 很 好 的 措施 ， 改 进 的 花费 将 高 很 多 而 得 到 的 
效益 却 比 较 低 。 还 有 一 个 问题 是 测试 你 的 软件 
并 证 明 你 的 软件 是 可 靠 的 也 绝 非 易 事 。 这 需要 
运行 多 次 测试 并 查看 一 定数 量 发 生 的 错误 。 随 
着 你 的 软件 可 依赖 性 变 得 更 高 ， 你 将 会 看 到 越 


成 本 


来 越 少 的 失败 。 结 果 ， 需 要 更 多 的 测试 并 猜测 f 中 商 a RN 
你 的 软件 还 有 多 少 问题 。 测 试 是 非常 昂贵 的 ， 可 依赖 性 
这 急剧 增加 了 高 可 用 性 系统 的 成 本 。 图 11.2 成 本 /可 依赖 性 是 线 


11.2 可 用 性 和 可 靠 性 

系统 的 可 用 性 和 可 靠 性 是 两 个 关系 紧密 的 可 依赖 性 指标 。 这 两 个 属性 都 可 以 用 概率 来 表达 。 
系统 可 用 性 是 系统 在 请 求 发 生 时 响应 并 提供 这 些 服务 给 用 户 的 可 能 性 。 系 统 的 可 靠 性 是 系统 能 
按 需 求 描述 中 所 定义 的 那样 正确 提供 所 需 服务 的 可 能 性 。 如 果 ， 平 均 来 说 ， 每 1000 次 输入 中 两 
次 输入 引起 失败 ， 那 么 其 可 靠 性 ， 用 发 生 失 败 的 频率 来 表示 ， 就 是 0.002。 如 果 可 用 性 是 0. 999, 

” 即 表示 在 一 段 时 间 里 的 99. 9% 都 是 可 用 的 。 

可 人 靠 性 与 可 用 性 是 紧密 联系 的 但 是 有 时 候 一 个 比 另 一 个 更 重要 。 如 果 用 户 期 望 从 系统 得 到 
持续 的 服务 那么 这 个 系统 就 有 高 可 用 性 需求 。 无 论 何 时 当 一 个 要 求 产生 时 它 必 须 是 可 用 的 。 然 
而 ， 如 果 由 于 失败 而 造成 的 损失 不 大 并 且 系 统 可 以 迅速 恢复 那么 这 些 失 败 不 会 严重 地 影响 系统 
使 用 者 。 在 这 样 的 系统 当中 ， 系 统 的 可 靠 性 需求 可 能 相对 较 低 。 

交换 机 连接 电话 呼叫 线路 是 一 个 系统 中 可 用 性 比 可 靠 性 更 重要 的 例子 。 当 拾 起 听 简 的 时 候 ， 
用 户 希望 听 到 拨号 音 ， 因 此 系统 有 较 高 可 用 性 需求 。 如 果 当 一 次 连接 被 建立 起 以 后 系统 发 生 了 
失败 ， 错误 可 以 很 快 得 到 修复 。 交 换 器 通常 可 以 重 置 系统 并 重新 尝试 连接 。 这 可 能 发 生得 非常 之 
快 ， 以 至 于 用 户 其 至 没有 注意 到 失败 曾经 发 生 。 再 者 ， 即 便 是 通话 真 的 被 打扰 了 ， 其 造成 的 结果 
也 通常 不 很 严重 。 因 此 ， 在 这 一 类 系统 中 可 依赖 性 的 关键 要 求 不 是 可 靠 性 而 是 可 用 性 。 

系统 可 靠 性 和 可 用 性 的 更 精确 的 定义 如 下 : 

l. 可 靠 性 系统 在 一 特定 时 间 特 定 环境 中 为 一 专门 目的 而 做 的 无 失败 操作 的 可 能 性 。 

2. 可 用 性 系统 在 一 个 时 刻 是 可 操作 的 和 能 执行 请 求 服务 的 可 能 性 。 

在 开发 可 依赖 的 系统 时 存在 的 一 个 实际 的 问题 是 ， 我 们 对 可 靠 性 和 可 用 性 的 直觉 概念 时 常 
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比 这 些 有 限 的 定义 宽广 得 多 。 在 可 靠 性 的 定义 陈述 中 包含 系统 被 使 用 的 环境 和 它 使 用 的 目的 两 
个 条 件 。 因 此 ， 一 个 环境 中 的 可 靠 性 度量 就 不 适合 另 一 个 环境 中 该 系统 的 度量 。 

举例 来 说 ， 一 个 软件 系统 的 可 靠 性 度量 是 在 办 公 室 环境 中 进行 的 ， 环 境 中 绝 大 多 数 用 户 都 
对 软件 的 操作 不 感 兴趣 。 他 们 会 按照 说 明 书 一 板 一 眼 地 操作 ， 从 不 对 系统 做 其 他 试验 。 在 一 个 大 
学 环境 中 ， 可 靠 性 可 能 就 大 大 不 同 了 。 在 这 里 ， 学 生 探究 系统 的 边界 ， 可 能 以 一 种 意 想不到 的 方 
式 使 用 系统 。 这 些 都 会 造成 系统 的 失败 ， 而 在 办 公 室 环境 中 很 少 发 生 这 种 情况 。 

这 些 标 准 的 可 用 性 和 可 靠 性 的 定义 没有 考虑 到 失败 的 严重 程度 和 不 可 用 性 的 后 果 。 人 们 通 
常 接受 微小 的 系统 失败 但 是 很 担心 能 够 造成 严重 后 果 的 严重 失败 。 比 如 ， 损 坏 存储 数据 的 计算 
机 失败 比 可 以 通过 重启 机 器 解决 问题 的 机 器 死机 的 失败 更 难以 接受 。 

可 靠 性 的 严格 定义 是 与 系统 描述 的 实现 相关 的 。 这 就 是 说 ， 如 果 系 统 的 行为 是 与 描述 中 定 
义 的 严格 一 致 ， 则 认为 系统 行为 是 可 靠 的 。 不 过 ， 通 常 存 在 的 一 个 能 感知 到 系统 不 可 靠 的 原因 是 
系统 定义 与 系统 用 户 期 待 不 匹配 。 不 幸 的 是 ， 许 多 描述 都 是 不 完善 的 或 不 正确 的 ， 软 件 工程 师 根 
据 描述 来 构造 系统 的 行为 ， 因 而 所 得 到 的 系统 行为 当然 会 存在 问题 。 因 为 他 们 不 是 领域 专家 ， 所 
以 他 们 不 可 能 准确 实现 用 户 预 期 的 行为 。 当 然 可 以 肯定 的 有 是， 用户 不 去 读 系 统 描述 ， 他 们 可 能 因 
此 对 系统 有 不 现实 的 期 望 。 

可 用 性 和 可 靠 性 显然 是 有 联系 的 ， 因 为 系统 失败 可 能 导致 系统 的 损坏 。 然 而 ， 可 用 性 不 只 取 
决 于 系统 失败 的 次 数 ， 辣 时 取决 于 修复 导致 失败 的 错误 所 需 时 间 。 因 此 ， 如 果 系统 A 每 一 年 失 
败 一 次 ， 系 统 B 每 一 个 月 失败 一 次 ， 则 A 系统 比 B 系统 相对 更 可 依赖 。 然 而 ， 如 果 系 统 A 需要 
HI 天 才能 重新 启动 ， 而 系统 B 只 需 10 分 钟 就 可 以 重新 启动 ， 系 统 B 全 年 的 可 用 性 (120 分 钟 
宕 机 时 间 ) 会 被 认为 比 系统 A (4320 分 钟 宕 机 时 间 ) 更 具有 可 用 性 。 用 户 或 许 更 喜欢 系统 B。 

不 可 用 系统 所 造成 的 混乱 不 是 简单 反映 在 系统 的 可 用 性 度量 上 ， 可 用 性 度量 描述 的 是 不 可 
用 时 间 所 占 的 百分比 。 系 统 失 败 发 生 的 时 间 点 同样 很 重要 。 如 果 一 个 系统 每 天 在 瑟 晨 3 RR 
4 点 的 一 个 小 时 时 间 不 可 用 ， 并 不 会 影响 很 多 用 户 。 然 而 ， 如 果 同 样 的 系统 在 上 班 时 间 有 10 分 
钟 不 可 用 ， 系 统 的 不 可 用 性 可 能 会 造成 更 大 的 影响 。 

系统 的 可 靠 性 和 可 用 性 问题 很 大 程度 上 是 由 系统 失败 引起 的 。 这 些 失败 有 些 是 具体 的 错误 
的 后 果 或 其 他 相关 项 目 系 统 中 〈 比 如 ， 通 信 系 统 中 ) 的 失败 。 不 管 怎 样 ， 许 多 失败 是 由 于 系统 
易 出 的 错误 行为 而 导致 的 ， 这 是 系统 中 存在 故障 所 致 。 当 讨论 可 靠 性 的 时 候 ， 区 别 术 语 缺 陷 、 错 
误 和 失败 是 有 益 的 。 图 11-3 定义 了 这 些 术 语 并 用 一 个 野外 气象 系统 的 例子 解释 了 这 些 定义 。 








人 的 所 有 导致 在 系统 中 引入 缺陷 的 行为 。 例 如 ， 在 野外 气象 系统 中 ， 程 序 员 会 决定 计算 
人 的 错误 和 误会 | 下 一 次 传输 数据 的 时 间 为 当前 时 间 加 1 小 时 。 这 里 的 出 错 情况 发 生 在 当 传输 数据 的 时 间 在 
23:00 和 午夜 之 闻 (午夜 时 间 时 00:00， 对 于 24 小 时 制 ) 


软件 系统 的 能 导致 系统 出 错 的 特性 。 缺 陷 是 包含 加 1 小 时 到 上 一 次 传输 数据 的 时 刻 的 代 
码 ， 而 没有 检查 是 否 时 间 大 于 或 等 于 23 :00 





系统 缺陷 





系统 错误 一 个 错误 的 系统 状态 ， 能 够 导致 系统 行为 完全 超出 系统 用 户 预 期 。 当 铅 陷 代码 被 执行 
° 时 ， 传 输 数 据 时 刻 的 值 设置 得 不 正确 (应 该 为 24; xx ， 而 不 是 00; xx) 


在 某 一 时 刻 所 发 生 的 事件 ， 系 统 不 能 提供 一 个 用 户 所 期 待 的 服务 。 没 有 气象 数据 传 出 因 
为 时 间 是 无 效 的 








图 11-3 可 靠 性 术语 


当 一 个 或 一 系列 输入 引起 有 缺陷 的 代码 执行 ， 一 个 错误 的 状态 产生 并 可 能 引起 软件 失败 。 图 
11-4 引 自 Littlewood (1990) ,说 明了 一 个 软件 系统 是 输入 到 输出 集合 的 映射 。 一 个 程序 可 以 有 许 
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多 输入 (为 简单 起 见 ， 将 组 合 输入 和 序列 输入 看 成 一 个 单一 输入 ) ， 程 序 响应 这 些 输入 产生 一 个 
或 -- 组 输出 。 例 如 ， 给 定 一 个 URL 输入 ，Web 浏览 器 产生 一 个 相应 的 显示 Web 页 的 输出 。 

大 多 数 的 输入 不 会 引起 系统 失败 。 然 而 ， 有 些 输 入 或 输入 组 合 ， 如 图 11-4 中 用 带 阴影 的 椭 
ll], 所 示 ， 引 起 错误 输出 的 产生 。 程 序 的 可 靠 性 取决 于 作为 引发 一 个 错误 输出 的 输入 集合 的 数 
量 。 如 果 在 集合 I 中 的 输入 被 系统 频繁 使 用 的 部 分 执行 ， 那 么 错误 也 就 是 频繁 发 生 了 。 然 而 ， 
如 果 输 入 集合 I 被 很 少 使 用 的 代码 执行 的 话 ， 那 用 户 可 能 几乎 不 会 遇 到 失败 。 

由 于 每 个 用 户 以 不 同 的 方式 使 用 系统 ， 他 们 对 于 可 靠 性 的 观点 也 不 -- 样 。 对 某 个 用 户 来 讲 
影响 系统 可 靠 性 的 缺陷 而 对 另 一 个 用 户 来 讲 可 能 就 不 是 ( 如 图 11-5 所 示 ) 。 在 图 11-5 中 容易 出 
错 的 输入 集 对 应 为 图 11-4 PRA L 的 椭圆 部 分 。 用 户 2 使 用 的 输入 集 与 这 个 易 错 输入 集 相 交 ， 
用 户 2 将 会 体会 到 系统 失败 的 滋味 。 用 户 1 和 用 户 3 从 不 使 用 来 自 这 个 易 错 集合 中 的 输入 ， 对 他 
们 来 讲 ， 这 个 软件 总 是 可 靠 的 。 





导致 错误 的 
输出 的 输入 
输入 集 L 
可 能 的 输入 
错误 的 输出 
输出 集 0 
图 11-4 系统 被 看 做 是 输入 /输出 间 的 映射 图 11-5 软件 使 用 模式 


程序 真实 的 可 靠 性 依赖 于 绝 大 多 数 用 户 日 常 使 用 情况 下 导致 错误 输出 (失败 ) 的 输入 次 数 。 
那些 只 发 生 在 异常 情况 下 的 软件 缺陷 对 系统 的 可 靠 性 影响 很 小 。 结 果 是 ， 对 于 整个 系统 来 说 ， 删 
除 软件 错误 可 能 对 提高 整个 系统 的 可 靠 性 不 会 有 显著 效果 。Mills 4$ (Mills 等 ，1987) £M, 在 
他 们 的 软件 中 ， 删 除 产 品 中 60% 的 缺陷 ， 而 可 靠 性 只 提高 了 3% 。Adams (Adams, 1984) 在 他 
对 IBM 软件 产品 的 研究 中 认为 : 许多 产品 中 的 缺陷 只 在 产品 数 百 或 数 千 个 月 之 久 的 使 用 时 段 中 
引起 一 次 失败 。 

软件 的 缺陷 不 总 是 导致 系统 错误 ， 并且 系 统 错误 不 会 必然 导致 系统 失败 。 其 原因 如 下 : 

L 不 是 程序 中 所 有 的 代码 都 会 执行 。 包 含 缺 陷 的 代码 比如 ， 初 始 化 一 个 变量 的 失败 ) 可 
能 因 软 件 使 用 的 方式 等 原因 永远 不 会 被 执行 。 

2. 错误 是 短暂 的 。 一 个 状态 变量 可 能 由 于 缺陷 代码 的 执行 产生 一 个 不 正确 的 值 。 然 而 ， 在 
这 个 变量 被 访问 并 导致 系统 失败 之 前 ， 其 他 的 系统 输入 可 能 已 经 被 处 理 ， 而 此 事件 会 重 置 这 个 
状态 变量 为 一 个 有 效 值 。 

3. 系统 可 能 拥有 缺陷 探测 和 保护 机 制 。 这 些 机 制 确保 在 系统 服务 被 影响 之 前 错误 行为 被 发 
现 并 被 改正 。 

缺陷 不 一 定 会 引起 系统 失败 的 另 一 个 原因 是 ， 在 实践 中 ， 用 户 会 调整 行为 以 避免 使 用 他 们 
知道 会 产生 程序 失败 的 输入 。 有 经 验 的 用 户 会 依据 他 们 的 经 验 避 开 不 可 靠 的 软件 特征 。 比 如 ， 作 
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者 会 避免 特定 的 特征 ， 即 作者 用 来 写 这 本 书 的 字 处 理 系统 中 的 自动 计数 功能 。 当 作者 使 用 自动 
计数 功能 时 ， 它 经 常 出 错 。 修 复 不 使 用 的 特征 的 缺陷 不 会 改变 系统 可 靠 性 。 当 用 户 共享 系统 问题 
的 信息 并 主动 绕 开 它们 ， 软 件 中 的 问题 的 影响 就 会 降低 。 

缺陷、 错误 和 失败 之 间 的 差别 在 图 11-3 中 给 出 了 解释 ， 帮 助 我 们 找 出 3 个 可 以 用 于 系统 可 
靠 性 改善 的 辅助 方法 : 

1. 缺陷 避免 -使 用 某 些 开发 技术 尽量 减少 人 为 的 错误 的 可 能 性 和 对 人 为 错误 采取 预防 手段 
以 避免 导致 系统 缺陷 。 这 些 技术 的 例子 包括 避免 使 用 易 出 错 的 程序 语言 成 分 ， 例 如 指针 以 及 用 
静态 分 析 来 检查 程序 中 的 异常 。 

2. 缺陷 检测 和 删除 ”使 用 检验 和 有 效 性 验证 技术 增加 发 现 故 障 的 机 会 ， 并 在 系统 被 使 用 之 
前 将 其 删除 。 系 统 性 地 进行 测试 和 调试 就 是 缺陷 检测 技术 的 一 种 方法 。 

3. 容错 使 用 某 些 技术 来 确保 系统 缺陷 不 引发 系统 错误 ， 同 样 使 用 这 些 技术 确保 系统 错误 
不 引发 系统 失败 。 在 系统 中 嵌入 自 检 设 施 以 及 使 用 完 余 系统 模块 就 是 这 样 的 容错 技术 的 例子 。 

在 13 章 中 讨论 了 这 些 技术 的 实际 应 用 ， 这 其 中 包含 了 可 靠 的 软件 工程 技术 。 


11.3 安全 性 

安全 要 求 极 高 的 系统 是 这 样 的 一 类 系统 ， 系 统 总 是 安全 运行 是 至 关 重要 的 。 也 就 是 说 ， 系 统 
永远 也 不 能 伤害 人 或 者 损害 系统 环境 ， 即 使 是 在 系统 失败 发 生 的 时 候 。 安 全 要 求 极 高 的 系统 的 
例子 包括 飞机 监控 系统 ， 在 化 学 和 医学 工厂 中 的 过 程控 制 系 统 ， 以 及 汽车 控制 系统 。 

安全 要 求 极 高 的 系统 中 的 硬件 控制 相对 于 软件 控制 来 说 较为 容易 实现 和 分 析 。 然 而 ， 我 们 
现在 构建 此 类 复杂 系统 都 不 能 仅仅 使 用 硬件 控制 。 软 件 控制 是 十 分 重要 的 ， 因 为 需要 管理 大 量 
的 传感器 和 执行 器 ， 这 些 单元 都 有 复杂 的 控制 规律 。 例 如 ， 先 进 的 空气 动力 的 失 稳 军用 飞机 要 求 
连续 的 软件 控制 的 飞行 器 姿态 调整 ， 以 确保 不 会 发 生 坠 毁 事件 。 

安全 要 求 极 高 的 软件 会 分 为 两 大 类 : 

1. 首要 的 安全 要 求 极 高 的 软件 ”这 种 软件 是 嵌入 在 系统 控制 器 中 的 软件 。 该 类 软件 错误 地 
执行 会 导致 硬件 的 误 操作 ， 引 起 人 员 伤 害 或 环境 破坏 。 胰 岛 素 泵 软件 ， 如 在 第 1 章 中 介绍 的 ， 就 
是 首要 安全 要 求 极 高 的 系统 。 系 统 失败 会 导致 用 户 受 到 伤害 。 

2. 次 要 的 安全 要 求 极 高 的 软件 ”此 类 软件 可 以 间接 引起 人 员 伤 害 。 此 类 软件 的 例子 是 计算 
机 辅助 工程 设计 系统 ， 它 的 错误 执行 会 引起 所 设计 的 对 象 中 存在 设计 缺陷 。 如 果 所 设计 的 系统 
误 操 作 的 话 ， 这 样 的 缺陷 会 引起 对 人 的 伤害 。 另 外 一 个 例子 是 ， 心 理 治疗 管理 系统 ， 即 MHC- 
PMS。 由 于 该 系统 的 失败 ， 一 个 不 稳定 的 病人 可 能 没有 得 到 正确 的 治疗 ， 使 得 该 病人 伤害 了 自己 
或 他 人 。 

系统 可 依赖 性 和 系统 安全 性 是 相关 的 ， 但 是 可 依赖 的 系统 也 许 是 不 安全 的 ， 反 之 亦 然 。 软 件 
可 能 一 直 以 一 种 不 健康 的 方式 工作 ， 它 因而 产生 的 系统 行为 将 导致 意外 发 生 。 有 4 个 原因 说 明 为 
什么 可 信赖 软件 系统 不 一 定 是 安全 的 系统 : 

1. 我 们 不 能 百 分 百 地 确信 软件 系统 是 无 缺陷 的 和 能 容错 的 。 未 被 发 现 的 缺陷 可 能 潜伏 很 长 
一 段 时 间 ， 软 件 失败 也 许 会 发 生 在 多 年 的 可 信赖 运行 之 后 。 

2. 需求 描述 会 是 不 完备 的 ， 因 为 它 可 能 没有 描述 在 一 些 关键 时 刻 的 必要 的 系统 行为 。 高 比 
例 的 系统 误 操作 (Boehm 等 1975; Endres, 1975; Lutz, 1973; Nakajo and Kume, 1991) $ Á TH 
述 错误 而 非 设计 错误 。 在 嵌 人 式 系统 错误 的 研究 中 ，Lnutz 总 结 说 : 

…… 需 求 中 的 困难 是 引起 安全 类 软件 错误 的 主要 原因 ， 它 会 一 直 存 在 着 直到 集成 和 系统 测试 。 

3. 硬件 误 动 作 会 引起 系统 无 法 预测 的 行为 ， 使 得 软件 所 处 的 环境 无 法 预测 。 当 组 件 与 物理 
失败 很 紧密 时 ， 它 们 会 产生 不 规律 的 行为 ， 其 产生 的 信号 会 超出 软件 所 能 处 理 的 范围 。 
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4. 系统 操作 员 会 产生 单独 看 起 来 是 正确 的 输入 ,但 是 在 某 些 情形 下 它 是 可 能 导致 系统 误 操 
作 的 。 一 个 有 趣 的 例子 是 ， 一 架 飞 机 在 停机 坪 上 突然 起 落架 塌 下 。 显 然 ， 机 械 师 按 下 了 指示 设施 
管理 软件 收 起 起 落架 的 按钮 。 软 件 完美 地 执行 了 机 械 师 的 指令 。 然 而 ， 系 统 应 该 不 允许 该 指令 的 
执行 除非 飞机 已 经 升 空 。 

形成 了 一 组 专门 的 词汇 用 来 讨论 安全 要 求 极 高 的 系统 ， 它 对 于 理解 所 使 用 的 专业 术语 是 很 
重要 的 。 图 11-6 总 结 了 一 些 重 要 的 术语 定义 ， 同 时 给 出 了 来 自 胰岛 素 泵 系统 的 例子 。 
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未 预计 到 的 事件 和 事件 后 果 ， 它 导致 人 员 伤亡 、 财 产 损失 或 环境 破坏 。 过 量 注射 胰岛 素 是 
意外 的 例子 














危险 潜在 能 引起 或 造成 意外 发 生 的 情况 。 测 量 血液 血糖 含量 的 传感器 失败 是 危险 的 一 个 例子 
po 
ma 关于 事故 所 造成 的 损失 的 一 个 度量 。 损 害 可 以 是 很 多 人 在 事故 中 遇难 ， 也 可 能 是 很 小 的 身 
体外 伤 或 很 小 的 财产 损失 。 胰 岛 素 过 量 是 个 很 严重 的 损害 甚至 引起 患者 的 死亡 











来 自 特 别 危 险 最 坏 可 能 的 损害 的 评估 。 危 险 严重 程度 可 以 是 灾难 性 的 ， 很 多 人 遇难 ， 也 可 
危险 严重 性 能 是 很 小 的 ， 如 只 有 微不足道 的 损失 。 只 要 有 可 能 造成 人 的 死亡 ， 那 危险 程度 就 将 是 “ 非 













发 生 危险 的 可 能 性 。 概 率 值 可 能 是 太 绝对 ， 所 以 可 以 用 “可 能 ”( 有 1/100 的 危险 发 生 概 
XE) 到 “不 太 可 能 ”( 没 有 可 想到 的 发 生 危 险 的 情形 ) 等 来 衡量 危险 可 能 。 在 胰岛 素 泵 中 传 
感 器 失败 导致 过 量 注射 的 概率 就 是 “ 较 低 ”) 


这 是 系统 会 造成 意外 的 概率 的 度量 。 风 险 评估 是 考虑 危险 概率 、 危 险 严重 性 ， 以 及 危险 演 
化 为 事故 的 概率 。 胰岛 素 过 量 的 风险 是 中 度 到 低 











图 11-6 安全 性 术语 


确保 安全 性 的 关键 在 于 保证 要 么 意外 不 会 发 生 要 么 意外 发 生 的 后 果 并 不 严重 。 这 可 以 通过 3 
种 互补 的 手段 达到 : 

l. 危险 避免 ”系统 的 设计 要 能 避免 危险 的 发 生 。 例 如 ， 切 割 系统 要 求 操作 员 使 用 双手 同时 
分 别 按 住 一 个 按钮 以 避免 操作 员 的 手 在 切 刀 的 路 径 上 。 

2. 危险 检测 和 去 除 ”系统 的 设计 要 能 检测 危险 ， 并 在 其 发 生 之 前 去 除 危险 。 例 如 ， 一 个 化 
学 工厂 系统 会 检测 过 大 的 压力 并 开启 减 压 阀 在 爆炸 发 生 之 前 降低 这 些 压力 。 

3. 限制 损失 ”系统 会 包含 保护 特征 以 最 小 化 损失 。 例 如 ,飞机 引擎 正常 情况 下 带 有 自动 的 
灭火 器 。 如 果 失 火 ， 通 常 是 可 以 在 其 对 飞机 造成 威胁 之 前 得 到 控制 。 

意外 最 容易 发 生 在 多 个 方面 同时 出 错 的 时 候 。 关 于 严重 意外 事件 的 分 析 (Perrow, 1984) 表 
明 ， 它 们 几乎 都 是 源 于 系统 不 同 部 分 失败 的 组 合 情 形 。 对 子 系统 失败 的 未 预料 的 组 合 导致 整个 
系统 失败 的 交互 。 例 如 ， 空 调 系统 的 失败 可 能 导致 过 热 ， 而 这 又 会 导致 系统 硬件 产生 不 正确 的 信 
号 。Perrow 建议 : 不 太 可 能 预测 所 有 可 能 的 失败 组 合 。 意 外 因而 是 使 用 复杂 系统 不 可 避免 的 一 
部 分 。 

某 些 人 用 此 论断 反对 软件 控制 。 因 为 软件 的 复杂 性 ， 在 系统 的 不 同 部 分 间 存 在 更 多 的 交互 ， 
这 意味 着 会 有 更 多 的 缺陷 组 合 导 致 系统 失败 。 

然而 ， 相 对 于 机 电 系 统 ， 软 件 控制 系统 会 监视 更 大 范围 的 状态 。 它 们 也 更 容易 进行 修改 。 使 
用 的 计算 机 硬件 具有 非常 高 的 内 在 的 可 靠 性 也 在 物理 上 减少 了 体积 和 重量 。 软 件 控制 系统 能 提 
供 复杂 的 安全 互 锁 机 制 ， 可 以 支持 相应 策略 以 减少 人 们 在 危险 环境 中 停留 的 时 间 。 尽管 软件 控制 
会 导 人 更 多 的 错误 ， 它 也 允许 更 好 地 监控 和 保护 ， 因 而 对 改善 系统 安全 性 有 帮助 。 

在 任何 情况 下， 最 重要 的 一 点 是 理解 系统 安全 的 程度 。 系 统 不 可 能 是 百 分 百 地 安全 的 ， 社 会 
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不 得 不 决定 是 否 某 个 意外 突 发 事件 会 产生 恶劣 后 果 ， 必 须要 动用 先进 的 技术 去 处 理 。 同 时 如 何 
部 署 有 限 的 国家 资源 来 减少 民众 的 风险 ， 也 属于 社会 和 政治 决策 。 


11.4 信息 安全 性 


信息 安全 性 是 一 个 反映 系统 保护 自己 免 受 外 部 意外 或 故意 攻击 的 能 力 的 一 个 系统 属性 。 这 
些 外 部 攻击 可 能 原因 是 ， 大 多 数 一 般 用 途 的 电脑 现在 都 已 经 联网 并 且 因 此 可 以 被 外 界 访 问 。 攻 
击 的 例子 通常 包括 : 病毒 或 者 木马 的 安装 ， 系 统 服务 的 未 经 许可 的 使 用 ， 系 统 或 数据 的 未 经 许可 
的 修改 等 。 如 果 你 真 的 想 要 一 个 保密 的 系统 ， 最 好 不 要 连接 互联 网 。 这 样 ， 你 的 信息 安全 性 问题 
就 局 限于 确保 授权 用 户 不 会 滥用 系统 。 然 而 在 实践 当中 ， 对 大 多 数 系 统 来 说 连接 网 络 的 利益 是 
巨大 的 ， 所 以 与 互联 网 断 开 连 接 是 不 划算 的 。 

在 有 些 系统 中 ， 信 息 安 全 性 是 可 依赖 性 中 最 为 重要 的 内 容 。 军 事 系 统 、 电 子 商 务 系统 以 及 机 
要 信息 处 理 和 交换 系统 都 需要 具有 很 高 的 保密 等 级 。 比 方 说 ， 如 果 没 有 机 票 预订 系统 是 很 不 方 
便 的 ， 会 耽误 机 票 出 售 。 不 过 ， 如 果 系 统 是 不 安全 的 ， 一 个 攻击 可 能 删除 所 有 订 票 ， 那 么 日 常 的 
航班 运行 将 在 现实 中 无 法 继续 。 

在 可 依赖 性 的 其 他 方面 ， 有 一 个 跟 信 息 安全 性 有 关 的 专门 术语 集 。 一 些 重要 的 术语 ， 就 如 
Pfleeger (Pfleeger, 2007) 讨论 过 的 ， 在 图 11-7 中 定义 。 图 11-8 采用 图 11-7 中 定义 的 信息 安全 性 
概念 ， 展 示 了 这 些 术语 是 怎样 与 MHC-PMS 中 的 脚本 相关 联 的 。 


对 计算 系统 的 可 能 产生 的 损失 或 伤害 。 它 可 以 是 对 数据 的 损失 或 损害 ， 或 者 是 当 信息 安全 
失败 之 后 进行 必要 恢复 所 需 投 和 人 的 时 间 和 人 力 











诊所 的 经 济 损失 ， 未 来 病人 不 再 寻求 治疗 ， 原 因 是 他 们 不 再 相信 诊所 能 够 保护 好 他 们 的 信 
息 。 来 自体 育 明星 的 诉讼 的 经 济 损失 。 诊 所 失去 声誉。 





一 个 未 经 授权 的 用 户 将 获得 访问 系统 的 资格 ， 他 /她 是 通过 猜测 某 个 授权 用 户 的 用 户 和 名 和 
密码 进入 系统 的 








图 11-8 信息 安全 术语 的 例子 


诊所 职员 在 MHC-PMS 上 用 用 户 名 和 密码 登录 。 该 系统 要 求 至 少 8 个 字母 长 的 密码 ， 但 允许 
设置 任何 密码 而 不 做 进一步 检查 。 一 个 嫌疑 犯 发 现 一 个 收入 很 高 的 体育 明星 正在 接受 心理 健康 
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问题 的 治疗 。 他 想 要 非法 得 到 系统 中 的 信息 ， 这 样 他 可 以 喜 诈 那 位 明星 。 

他 假冒 明显 的 亲属 并 与 心理 健康 诊所 的 护士 们 谈话 ， 他 发 现 了 如 何 能 接触 到 系统 和 护士 的 
个 人 信息 。 通 过 查看 名 牌 他 知道 了 能 够 进入 系统 的 人 员 的 名 字 。 接 着 他 用 这 些 名 字 并 按 规律 猜 
出 可 能 的 密码 (比如 孩子 的 名 字 ) 伪装 登录 系统 。 

对 任何 一 个 联网 系统 ， 有 3 个 主要 类 型 的 信息 安全 性 威胁 。 

l. 对 系统 的 保密 性 以 及 它 的 数据 的 威胁 ”这 些 威胁 会 把 信息 暴露 给 未 经 授权 访问 该 信息 的 
人 及 程序 。 

2. 对 系统 和 数据 的 完整 性 的 威胁 “这些 威胁 会 毁坏 或 损害 软件 及 其 中 的 数据 。 

3. 对 系统 的 有 用 性 和 系统 数据 的 可 用 性 的 威胁 ”这 些 威胁 会 限制 授权 用 户 使 用 软件 和 其 中 
的 数据 。 | 

当然 ， 这 些 威胁 是 相互 依赖 的 。 如 果 一 次 攻击 使 得 系统 不 可 用 ， 那 么 你 将 不 能 够 实时 更 新 信 
息 。 这 意味 着 系统 的 完整 性 可 能 受到 了 损害 。 如 果 一 次 攻击 成 功 并 且 完 整 性 受到 损害 ， 那 么 系统 
必须 停止 使 用 并 修复 问题 。 因 此 ， 系 统 的 可 用 性 就 降低 了 。 

在 现实 中 ， 大 多 数 社会 技术 系统 的 脆弱 性 是 由 人 的 失败 而 不 是 技术 问题 造成 的 。 人 们 选择 
容易 被 猜 到 的 密码 或 在 他 们 能 够 找到 的 地 方 写 下 他 们 的 密码 。 系 统管 理 员 在 设 定 访问 控制 或 本 
置 文件 时 犯 了 错误 ， 用 户 没 有 安装 或 使 用 保护 软件 。 然 而 ， 正 如 10.5 节 所 讲 的 那样 ， 我 们 在 把 
一 个 问题 归 类 为 用 户 错误 的 时 候 必须 非常 小 心 。 人 的 问题 通常 反映 出 系统 设计 决策 的 不 足 。 比 
如 ,经常 性 改变 密码 (所 以 用 户 要 记录 下 他 们 的 密码 ) 或 复杂 的 设置 机 制 。 

增强 系统 的 信息 安全 性 的 控制 类 似 于 增加 可 靠 性 和 安全 性 : 

1. 脆弱 性 避免 。 用 来 确保 攻击 不 成 功 的 控制 方法 。 这 里 使 用 的 策略 是 设计 系统 使 信息 安全 
性 问题 得 到 避免 。 比 如 说 ， 人 敏感 的 军用 系统 不 会 连接 到 公用 网 络 ， 这 样 外 部 访问 就 是 不 可 能 的 。 
你 同样 应 该 考虑 使 用 加 密 控 制 手段 。 任 何 未 经 授权 的 对 加 密 文件 的 访问 意味 着 其 不 能 被 攻击 者 
阅读 。 在 现实 中 ， 破 解 强化 的 加 密 文件 是 非常 昂贵 并 且 费 时 的 。 

2. 攻击 检测 和 压制 ”控制 的 意图 在 于 检测 和 压制 攻击 。 这 些 控制 包括 系统 中 带 有 某 些 功能 ， 
如 监视 其 操作 和 检查 不 寻常 的 模式 的 活动 。 如 果 检 查 到 这 些 ， 可 能 接 下 来 要 采取 行动 ， 比 如 关闭 
部 分 系统 ， 限 制 某 些 用 户 的 访问 ， 等 等 。 

3. 暴露 限制 与 恢复 “支持 从 问题 中 恢复 的 控制 。 这 些 控制 可 以 是 自动 备份 的 策略 和 信息 
“镜像 ”， 也 可 以 是 保险 措施 ， 弥 补 一 次 成 功 攻击 系统 所 造成 的 损失 。 

没有 一 个 合理 级 别 的 信息 安全 性 ， 我 们 就 不 可 能 对 一 个 系统 的 可 用 性 、 可 靠 性 和 安全 性 有 
信心 。 证 明 可 用 人 性、 可靠 性 和 信息 安全 性 的 方法 假设 运行 的 软件 与 初始 安装 的 软件 是 类 似 的 。 如 
果 系 统 受 到 攻击 使 得 软件 在 某 种 方式 上 被 破坏 〈 比如， 如 果 软 件 被 修改 包含 了 蠕虫 病毒 ) WA 
可 靠 性 和 安全 性 的 证 据 就 不 再 成 立 。 

系统 开发 的 错误 可 能 导致 信息 安全 性 的 漏洞 。 如 果 一 个 系统 对 意 想不到 的 输入 不 能 做 出 反 
应 或 数组 范围 没有 检查 ,那么 攻击 者 可 以 利用 这 些 弱 点 来 获取 访问 这 个 系统 的 机 会 。 主 要 的 信 
息 安 全 性 事故 ， 比 如 最 初 的 网 络 蠕虫 (Spafford 1989) 和 十 多 年 以 后 的 代码 一 红色 蠕虫 病毒 
(Berghel, 2001) 都 是 利用 了 同一 种 弱点 。 就 是 利用 在 C# 程 序 中 不 存在 数组 越界 检查 ， 所 以 有 可 
能 重 写 部 分 内 存 从 而 未 经 授权 进 和 人 系统 。 


要 点 


a 要 求 极 高 的 系统 失败 能 造成 重大 的 经 济 损失 : 重要 信息 的 丢失 ， 人 身 伤 害 ， 甚 至 危及 人 的 
生命 。 
m 计算 机 系统 的 可 依赖 性 是 反映 用 户 对 系统 信任 程度 的 一 个 系统 属性 。 可 依赖 性 中 最 重要 的 
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方面 是 可 用 性 、 可 靠 性 、 安 全 性 和 信息 安全 性 。 

u 系统 的 可 用 性 是 指 系统 在 用 户 请 求 服务 时 能 提供 服务 的 可 能 性 ;可 靠 性 是 指 系统 能 按照 指 
定 的 要 求 提 供 服务 的 可 能 性 。 

ua 理解 可 靠 性 与 在 正常 使 用 中 发 生 错 误 的 可 能 性 是 相关 的 。 一 个 程序 可 能 包含 已 知 的 缺陷 ， 
用 户 可 能 从 不 使 用 那些 受 缺 陷 影 响 的 系统 特征 。 用 户 因而 认为 系统 是 可 靠 的 。 

a 系统 的 安全 性 是 反映 系统 无 论 怎 样 操作 都 不 会 对 人 和 环境 带 来 危害 的 系统 特性 。 若 安全 性 
是 要 求 极 高 的 系统 的 一 个 基本 属性 时 ， 我 们 称 这 个 系统 是 一 个 安全 性 要 求 极 高 的 系统 。 

n 信息 安全 性 反映 的 是 系统 保护 自己 不 受 外 界 攻 击 的 能 力 。 信 息 安全 性 失败 可 能 导致 可 用 性 
的 损失 ， 系 统 或 其 数据 的 损坏 ,或 信息 泄露 给 未 经 授权 的 人 。 

a 没有 一 个 合理 程度 的 信息 安全 性 ， 系 统 的 可 用 性 、 可 靠 性 和 安全 性 都 会 由 于 外 部 人 侵 而 遭 
受 损 失 。 如 果 系 统 是 不 可 靠 的， 确保 系统 安全 性 或 信息 安全 性 是 很 难得 ， 因 为 它们 可 能 因 
系统 失败 而 损坏 。 


进一步 阅读 材料 

(The evolution of information assurance) , 这 是 一 简 讨 论 机 构 在 遭受 意外 事件 和 攻击 时 保护 要 求 
极 高 信息 的 需要 的 好 文章 (R. Cummings, IEEE Computer, 35 (12), December, 2002) , http;// 
dx. doi. org/10. 1109/MC. 2002. 1106181 , 

(Designing Safety Critical Computer Systems) , 这 是 一 篇 很 好 的 介绍 安全 性 极 高 系统 的 领域 的 文 
章 ， 它 讨论 了 危害 与 风险 的 基本 概念 。 比 Dunn 的 关于 安全 性 极 高 系统 的 书 更 容易 理解 。 
(W. R. Dunn, IEEE Computer,36(11) , November 2003. ) http ;//dx. doi. org/10. 1109/MC. 2003. 1244533, 

(Secrets and Lies; Digital Security in a Networked World) , 这 是 一 部 非常 棒 而 且 可 读 性 很 强 的 、 
关于 计算 机 信息 安全 性 的 书 ， 作 者 从 社会 技术 焦点 对 此 进行 了 深入 探讨 。Schneier 在 论坛 上 发 表 
的 大 众 的 信息 安全 性 问题 (下 面 是 网 址 ) 同样 非常 好 (B，Schneier,2000, John Wiley & Sons), ht- 


tp://www. schneier. com/essays. html, 


练习 


11.1 给 出 软件 可 依赖 性 对 于 大 多 数 社会 技术 系统 十 分 重要 的 6 个 理由 。 

11.2 什么 是 系统 可 依赖 性 中 最 重要 的 方面 ? 

1.3. 为 什么 用 于 保证 系统 可 依赖 性 的 成 本 随 着 可 依赖 性 要 求 增加 呈 指 数 增长 ? 

1L.4 假设 有 如 下 一 些 系 统 ， 你 认为 哪个 可 依赖 性 属性 对 于 它们 是 最 为 紧要 的 ， 说 明理 由 。 
里 由 ISP 提供 的 拥有 数 千 用 户 的 互联 网 服务 器 。 
© 用 于 锁 眼 手术 的 计算 机 控制 手术 刀 。 
m 用 于 卫星 运载 火箭 的 方向 控制 系统 。 
wm 基于 互联 网 的 个 人 账户 管理 系统 。 

11.5 指出 6 个 客户 产品 ， 它 们 可 能 被 安全 要 求 极 高 的 软件 系统 控制 。 

11.6 可 靠 性 和 安全 性 是 可 依赖 性 的 既 相 互 关联 又 有 明显 区 别 的 两 个 属性 。 描 述 一 下 两 省 之 间 的 最 主要 差 
别 ， 并 解释 为 什么 一 个 可 靠 系统 可 能 是 不 安全 的 ， 反 之 亦 然 。 

11.7 在 一 个 用 射线 来 治疗 肿瘤 的 治疗 系统 中 ， 给 出 系统 中 可 能 存在 的 一 种 危险 ， 提 出 一 个 软件 特性 用 它 
来 保证 该 危险 不 造成 意外 事件 。 

11.8 解释 为 什么 在 系统 可 用 性 和 系统 信息 安全 性 之 间 存 在 密切 关系 。 

11.9 以 MHC-PMS 为 例 说明 3 种 对 系统 的 威胁 (作为 图 11-8 所 示威 胁 的 补充 ) 。 提 出 可 能 加 入 的 控制 
手段 来 降低 这 些 威胁 的 成 功 攻击 的 几率 。 

11.10 ”作为 一 名 计算 机 信息 安全 的 专家 ， 收 到 某 个 组 织 的 请 求 ， 需 要 帮助 该 组 织 未 经 授权 地 访问 某 个 美国 
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公司 的 计算 机 系统 。 这 将 帮助 他 们 证 实 或 否定 该 公司 正在 销售 此 设备 直接 用 于 对 政治 犯 的 刑讯 逼 
供 。 讨 论 该 请 求 所 引发 的 道德 困境 和 应 该 如 何 回应 此 请 求 。 
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目标 

本 章 的 目标 是 要 说 明 如 何 定义 功能 性 和 非 功能 性 的 可 依赖 性 和 信息 安全 人 性 需求 。 读 完 本 章 ， 
你 将 了 解 以 下 内 容 : 

m 理解 一 个 风险 驱动 的 方法 是 如 何 识别 和 分 析 安 全 性 、 可 靠 性 和 信息 安全 性 需求 的 ; 

m 理解 缺陷 树 是 如 何 帮助 分 析 风 险 和 导出 安全 性 需求 的 ; 

u 引入 了 对 可 靠 性 描述 的 量度 以 及 是 如 何 用 这 些 量度 来 描述 可 靠 性 需求 ; 

8 知道 不 同 种 类 的 可 能 在 复杂 系统 中 需要 的 信息 安全 性 需求 ; 

m 了 解 对 系统 使 用 形式 化 的 、 数 学 的 描述 的 优点 和 缺点 。 

1993 年 9 月 ,一 架 飞 机 在 风暴 中 降临 波兰 华沙 机 场 。 开 始 降落 后 的 9 分 钟 里 ， 飞 机 计算 机 
控制 的 制 动 系统 突然 失灵 。 制 动 系统 并 未 检测 出 飞机 已 经 着 陆 了 并 认为 飞机 还 在 空中 。 飞 机 的 
安全 特性 中 止 了 北 推 力 系 统 的 工作 ， 因 为 逆 推 力 系统 可 以 降低 飞机 的 速度 ， 它 在 空中 启动 将 是 
危险 的 。 飞 机 脱离 跑道 向 外 冲 去 ， 撞 上 了 泥土 堤岸 ， 引起 大 火 。 

对 于 事故 的 调查 显示 制 动 系统 软件 按 其 描述 正常 工作 了 。 程 序 中 是 没有 错误 的 。 然 而 ， 软 件 
的 描述 是 不 完备 的 ， 它 没有 考虑 到 极 特 殊 的 情况 ， 恰 巧 这 种 极 特殊 情况 发 生 了 。 软 件 正常 工作 但 
是 系统 失败 了 。 

这 说 明了 系统 的 可 依赖 性 不 仅 依赖 于 好 的 工程 过 程 ， 它 还 需要 关注 一 些 细节 ， 比 如 系统 需 
求 的 导出 ， 以 及 所 包含 的 用 来 保证 系统 的 可 依赖 性 和 信息 安全 性 的 特殊 的 软件 需求 。 那 些 可 依 
赖 性 和 信息 安全 性 需求 分 为 两 种 : 

1. 功能 性 需求 ”定义 了 系统 应 该 包含 的 检查 和 修复 措施 ， 以 及 防止 系统 失败 和 外 部 攻击 的 
保护 性 特征 。 

2.， 非 功能 性 需求 ”定义 了 系统 需要 的 可 靠 性 和 可 用 性 。 

产生 功能 性 的 可 依赖 性 和 信息 安全 性 需求 的 起 始点 通常 是 商业 和 领域 内 规则 、 政 策 或 法 规 。 
它们 是 高 级 别 的 需求 ， 最 好 用 “不 应 该 ”来 描述 需求 。 与 定义 系统 应 该 进行 什么 的 功能 性 需求 
相 比 ,“ 不 应 该 ”需求 定义 系统 不 能 被 接受 的 行为 。“ 不 应 该 ”需求 的 例子 是 : 

n 系统 不 应 该 允许 用 户 对 不 是 由 他 们 建立 的 任何 文件 进行 存 取 权限 的 修改 (信息 安全 性 ); 

m 当 飞 机 在 飞行 时 ， 系 统 不 应 允许 选择 反 向 推力 模式 (安全 性 ) ; 

u 系统 不 应 该 允许 3 个 以 上 报警 信号 同时 被 激活 (RSH). 

这 些 “ 不 应 该 ”需求 不 能 直接 实现 ， 而 是 必须 分 解 成 更 多 的 比较 专门 的 软件 功能 需求 。 它 
们 可 能 通过 系统 设计 决策 来 实现 ， 这 样 的 设计 决策 的 例子 是 : 决定 在 一 个 系统 中 用 特别 类 型 的 
设备 。 


12.1 风险 驱动 的 需求 描述 


可 依赖 性 和 信息 安全 性 需求 可 以 认为 是 保护 性 需求 。 它 们 描述 了 一 个 系统 怎样 保护 自己 不 
受 内 部 缺陷 破坏 ,阻止 系统 失败 对 其 运行 环境 造成 损害 ,阻止 来 自 系统 运行 环境 的 事故 或 攻击 
破坏 系统 ， 以 及 在 失败 事件 发 生 时 的 功能 恢复 。 为 发 现 这 些 保护 性 需求 ， 你 需要 理解 对 于 系统 及 
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其 运行 环境 的 风险 。 一 个 风险 驱动 方法 的 需求 描述 应 该 考虑 到 ; 可 能 发 生 的 危险 事件 ， 这 些 事件 
可 能 真正 发 生 的 概率 ， 这 样 的 一 个 事件 可 能 引起 的 损失 ， 以 及 损失 可 能 波及 的 范围 。 然 后 根据 危 
险 事件 可 能 造成 损失 的 分 析 结果 ， 可 以 建立 信息 安全 性 和 可 依赖 性 需求 。 

风险 驱动 描述 是 安全 性 和 信息 安全 性 要 求 极 高 的 系统 的 开发 者 广泛 使 用 的 方式 。 它 注重 那 
些 可 能 造成 最 大 破坏 或 可 能 经 常 发 生 的 事件 。 仅 造成 不 严重 的 后 果 或 者 极 少 发 生 的 事件 可 能 被 
忽略 。 在 安全 性 要 求 极 高 的 系统 中 ， 风 险 与 引发 事故 危险 相关 联 ; 在 信息 安全 性 要 求 极 高 的 系统 
中 ， 风 险 来 自 对 系统 脆弱 性 的 内 部 或 外 部 的 攻击 。 

一 般 性 的 风险 驱动 的 描述 过 程 〈 见 图 12-1) 包括 : 理解 系统 所 面 对 的 风险 、 发 现 它们 的 根 
源 、 生 成 需求 来 管理 这 些 风险 。 这 个 过 程 的 步骤 是 : 

1. 风险 识别 ”识别 出 对 系统 的 潜在 的 风险 ， 这 依赖 于 系统 使 用 的 环境 。 风 险 可 能 是 由 系统 
与 其 操作 环境 的 特殊 情况 的 交互 引起 的 。 前 面 讨论 过 的 华沙 的 飞机 事故 发 生 在 雷暴 天 气 中 ， 侧 
风 导 致 飞机 倾斜 ， 所 以 〈 不 常见 地 ) 它 以 一 个 轮子 着 陆 而 不 是 两 个 轮子 着 陆 。 

2. 风险 分 析 和 分 类 ”每 一 个 风险 被 分 门 别 类 地 考虑 。 将 那些 具有 潜在 严重 性 和 明显 的 危险 
挑选 出 来 以 便 进一步 分 析 。 在 这 个 阶段 ， 将 那些 不 太 可 能 发 生 的 危险 〈 例 如 ， 闪 电 和 地 震 同时 
AE) 或 者 不 会 被 软件 探测 到 的 风险 排除 掉 。 

3. 风险 分 解 ” 对 每 个 风险 单独 分 析 以 找 出 风险 根源 。 风 险 根源 是 系统 失败 的 原因 。 它 们 可 
能 是 软件 或 硬件 错误 或 由 系统 设计 决策 导致 的 内 在 的 脆弱 性 。 

4. 风险 降低 ”对 发 现 的 风险 提出 相应 的 降低 或 根除 的 办 法 。 这 些 将 生成 系统 的 可 依赖 性 需 
求 ， 即 明确 定义 了 对 风险 的 防范 ， 以 及 当 风 险 产生 时 如 何 管理 风险 。 


风险 识别 和 一 (风险 分 析 和 分 类 ) 





12-1 风险 驱动 的 描述 


对 于 大 型 系统 来 说 ， 风 险 分 析 通 常 被 分 解 为 若干 个 阶段 (Leveson, 1995), ， 每 个 阶段 强调 不 
同类 型 的 风险 : 

l. 初步 危险 分 析 ， 本 阶段 系统 环境 的 主要 风险 将 被 识别 出 来 。 这 些 不 依赖 于 系统 开发 中 用 
到 的 技术 。 初 步 危险 分 析 的 目标 是 开发 一 个 系统 的 信息 安全 性 和 可 依赖 性 需求 的 初始 集 。 

2. 生命 周期 风险 分 析 ， 在 系统 开发 期 间 进行 风险 分 析 ， 并 关注 源 于 系统 设计 决策 的 风险 。 
不 同 的 技术 和 系统 体系 结构 有 它们 自己 的 相关 的 风险 。 在 这 个 阶段 ， 你 应 该 扩展 需求 来 预防 这 
些 风 险 。 

3. 运行 态 风险 分 析 ， 考 虑 系统 用 户 界 面 因 素 以 及 操作 人 员 操 作 错 误 的 风险 分 析 。 而 且 ， 一 
旦 用 户 界面 设计 决策 做 出 ， 进 一 步 的 保护 需求 必须 被 加 入 。 

这 些 阶 段 是 必要 的 ， 因 为 在 没有 完整 的 系统 实现 信息 基础 上 做 出 所 有 的 可 依赖 性 和 信息 安 
全 性 决定 是 不 可 能 的 。 信 息 安全 性 和 可 依赖 性 需求 特别 受 技术 选择 和 设计 决策 影响 。 必 须 引 人 
系统 检查 来 保证 第 三 方 组 件 是 正确 运行 的 。 必 须 修 改 信息 安全 性 需求 ， 因 为 它们 与 一 个 现 有 系 
统 提供 的 信息 安全 性 特性 冲突 。 

比如 ， 一 个 信息 安全 性 需求 可 能 是 用 户 应 该 用 一 个 密码 短语 确认 身份 而 不 是 用 一 个 密码 。 
密码 短语 被 认为 比 密码 更 加 有 信息 安全 性 。 它 们 对 于 攻击 者 来 说 更 难 猜 ， 也 很 难 用 自动 密码 破 
解 系统 来 破译 。 然 而 ， 如 果 一 个 决定 要 求 用 一 个 只 允许 密码 验证 的 系统 ， 那 么 这 个 信息 安全 性 需 
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求 就 不 能 被 支持 。 这 个 系统 可 能 因此 需要 包含 一 个 附加 功能 来 补偿 用 密码 而 不 用 密码 短语 所 增 
加 的 风险 。 


© IEC 的 安全 性 管理 的 标准 


TEC (国际 电工 委员 会 ) 为 保护 系统 【比如 在 一 些 危 险情 况 发 生 时 系统 能 激活 自我 保护 功 
能 ) 定义 了 一 个 安全 性 管理 的 标准 。 保 护 系 统 的 一 个 例子 是 当 一 列 火车 穿 过 红色 信号 灯 时 能 
自动 停 下 来 。 该 标准 包括 了 大 量 有 关 安 全 性 描述 过 程 的 指导 。 
http :// www. SoftwareEngineering-9. com/Web/SafetyLifeCycle/ 


12.2 安全 性 描述 


安全 性 要 求 极 高 系统 是 指 当 系 统 失败 时 可 能 影响 系统 环境 并 导致 在 这 个 环境 下 人 员 伤 亡 的 
系统 。 安 全 人 性 描述 主要 关注 的 是 识别 出 能 将 系统 失败 发 生 概 率 降 到 最 小 的 需求 。 安 全 性 描述 首 
要 的 是 保护 性 需求 ， 与 普通 的 系统 操作 没有 关系 。 它 们 可 能 明确 说 明 系统 应 该 被 关闭 ， 这 样 安全 
性 才能 得 以 保持 。 在 导出 不 同 的 安全 性 需求 中 ， 你 需要 在 安全 性 和 功能 性 之 间 找 到 -一 个 可 接受 
的 平衡 来 避免 过 度 保护 。 在 一 个 花费 合理 的 前 提 下 研究 构建 非常 安全 的 系统 才 是 有 意义 的 。 

回忆 第 10 章 所 讨论 的 专业 术语 ， 危 险 是 可 能 (但 不 是 必须 ) 造成 人 员 伤亡 ， 而 风险 是 系统 
可 能 会 进入 一 种 危险 状态 。 因 此 安全 性 描述 通常 是 关注 在 一 定 条 件 下 可 能 产生 的 危险 ， 以 及 可 
能 导致 这 些 危 险 产 生 的 事件 。 

一 般 的 基于 风险 的 描述 过 程 的 活动 (如 图 12-1 所 示 ) ,会 映射 到 下 列 安全 性 描述 过 程 : 

1. 风险 识别 ”在 安全 性 描述 中 ， 这 是 识别 可 能 危害 系统 的 危险 的 过 程 。 

2. 风险 分 析 ”这 是 一 个 危险 评估 过 程 ， 以 决定 哪 一 个 危险 是 最 危险 并 且 (或 ) 最 可 能 发 生 
的 。 应 该 在 给 安全 性 需求 分 类 时 对 其 进行 优先 级 排序 。 

3， 风 险 分 解 ” 这 个 过 程 是 关于 发 现 能 导致 危险 发 生 的 事件 。 在 安全 性 描述 中 ， 这 个 过 程 被 
认为 是 危险 分 析 。 

4. 风险 降低 ”这 个 过 程 基于 风险 分 析 的 结果 并 识别 安全 性 需求 。 这 些 可 能 是 关于 确保 一 个 
危险 不 会 引起 或 导致 事故 ， 或 如 果 一 个 事故 发 生 了 将 相关 的 损坏 最 小 化 。 


12.2.1 危险 识别 


在 安全 楼 求 极 高 的 系统 中 ， 主 要 的 风险 来 自 可 能 导致 事故 发 生 的 危险 。 你 通过 考虑 各 种 不 
同 的 种 类 的 危险 以 解决 危险 识别 的 问题 ， 如 物理 危险 、 电 子 危 险 、 生 物 危险 、 辐 射 危险 、 服 务 失 
败 危险 等 。 接 下 来 分 析 每 一 类 危险 以 发 现 可 能 发 生 的 特定 的 危险 。 同 时 还 必须 识别 由 于 不 同 的 
危险 可 能 的 混合 而 产生 的 潜在 的 危险 。 

前 面 章节 中 使 用 的 胰岛 素 泵 系统 的 例子 就 是 安全 性 要 求 极 高 的 系统 ， 因 为 失败 可 能 导致 患 
者 受伤 或 甚至 死亡 。 当 使 用 机 器 时 可 能 发 生 的 事故 包括 : 用 户 承受 长 时 间 的 低 血糖 控制 的 后 果 
《眼睛 、 心 脏 和 肾脏 问题 ) ; 由 低 血 糖 引起 的 感知 功能 障碍 ; 或 者 一 些 其 他 医疗 情况 ， 比 如 过 敏 
反应 。 

胰岛 素 泵 系统 引起 的 一 些 危险 是 ; 

1. 胰岛 素 药 量 过 大 《服务 失败 危险 ) 。 

2. 胰岛 素 药 量 不 够 〈 服 务 失败 危险 ) 。 

3， 电池 用 尽 造成 停电 (电器 危险 )。 
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4、 机 器 与 其 他 医疗 设备 发 生 干扰 ， 如 与 心脏 起 搏 器 相互 影响 (电器 危险 ) 。 
5. 由 于 不 正确 的 安装 造成 传感器 和 执行 机 构 的 接触 不 良 〈 物 理 危险 ) 。 

6. 机 器 的 某 个 部 分 在 病人 身体 内 脱离 〈 物 理 危险 ) 。 

7. 由 于 引入 机 器 造成 感 业 (生物 危险 )。 

8. 患者 对 机 器 材料 或 胰岛 素 的 过 敏 反应 (生物 危险 ) 

有 经 验 的 工程 师 、 领 域 专家 以 及 专业 的 安全 顾问 一 起 工作 ， 识 别 出 系 统 风险 。 集 体 工作 方式 
比如 头脑 风暴 ， 在 识别 风险 中 会 有 很 好 的 作用 。 对 先前 事故 有 直接 经 验 的 专门 分 析 人 员 也 能 够 
识别 特定 的 风险 。 

软件 相关 的 风险 一 般 关 心 的 是 系统 服务 失败 、 或 者 是 监视 系统 或 保护 系统 失败 。 监 视 系 统 
会 检测 出 潜在 的 危险 状态 ， 比 如 断 电 。 


12.2.2 危险 评估 


危险 评估 过 程 注重 理解 危险 发 生 的 频率 和 危险 发 生 所 造成 的 后 果 。 你 需要 进行 分 析 来 理解 
一 个 危险 是 不 是 对 系统 或 环境 的 严重 威胁 。 分 析 同 样 还 要 提供 基本 信息 以 决定 如 何 管理 与 危险 
相关 的 风险 。 

对 于 危险 ， 分 析 和 分 类 过 程 的 结果 是 可 接受 性 报告 。 报 告 是 用 风险 术语 表述 的 。 风 险 包 含意 
外 发 生 的 可 能 性 和 它 的 后 果 。 在 危险 评估 中 可 以 分 为 3 种 风险 类 型 : 

l. 不 可 容忍 的 风险 ”在 安全 要 求 极 高 的 系统 中 是 指 那些 能 威胁 到 人 的 生命 的 危险 。 系 统 设 
计 要 求 不 能 让 这 类 危险 发 生 ,或 者 一 旦 发 生 ， 系 统 特征 将 保证 在 引起 事故 前 它们 是 可 探知 的 。 在 
胰岛 素 泵 的 例子 中 ， 一 个 不 可 容忍 的 风险 是 一 次 胰岛 素 过 量 注射 。 

2. 低 于 合理 的 实际 水 平 (ALARP) 的 风险 ”此 类 风险 是 那些 没有 太 严 重 后 果 或 后 果 严 重 但 
发 生 的 可 能 性 非常 低 的 风险 。 系 统 设计 应 该 让 危险 引起 的 事故 尽量 少 ， 并 服从 于 成 本 或 交付 等 
因素 的 约束 。 一 个 胰岛 素 泵 的 低 于 合理 的 实际 水 平 的 风险 可 能 是 硬件 监控 系统 的 失败 。 其 后 果 
是 ,在 最 坏 的 情况 下 ， 短 期 的 胰岛 素 量 过 低 。 这 是 一 个 不 会 引起 严重 后 果 的 情况 。 

3. 可 接受 的 风险 ”此 类 风险 是 那些 相关 联 的 事故 通常 引起 很 小 的 损失 。 系 统 设计 者 应 该 采 
取 所 有 可 能 的 步骤 来 尽量 降低 “可 接受 的 ” 
风险 ， 只 要 不 会 提高 成 本 ,延长 交付 时 间 ， 或 
影响 其 他 非 功能 性 的 系统 属性 。 在 胰岛 素 泵 的 
例子 中 一 个 可 接受 风险 可 能 是 引起 用 户 一 次 过 ，、， 
敏 反应 。 这 通常 仅仅 引起 很 小 的 皮肤 发 炎 。 它 KR 
不 值得 为 了 降低 这 个 风险 使 用 特别 的 、 更 昂贵 
的 材料 与 设备 。 

图 12-2 (Brazendale 和 Bell, 1994) 给 出 可 接受 区 域 
了 这 两 个 区 域 。 这 个 图 的 形状 反映 了 成 本 与 避 
免 危险 引发 的 事故 之 间 的 关系 。 应 付 危 险 的 系 
统 设计 成 本 是 这 个 三 角形 的 宽度 的 函数 。 最 高 
的 成 本 对 应 到 图 的 顶部 的 危险 ， 最 低 的 成 本 对 
应 为 三 角形 顶点 处 的 危险 。 图 12-2 风险 三 角形 

图 12-2 中 的 区 域 间 边 界 不 是 技术 上 的 而 是 取决 于 社会 和 政治 因素 。 随 着 时 间 的 推移 ， 社 会 
变 得 更 加 能 够 规避 风险 ， 所 以 这 些 边界 会 向 下 移动 。 虽 然 处 理 危 险 导致 的 事故 的 财政 成 本 有 时 
远 小 于 预防 这 类 事故 所 耗费 的 成 本 ， 但 是 公众 可 能 会 要 求 把 钱 花 在 降低 系统 可 能 发 生 的 事故 几 
率 上 上 上， 这样 导 致 额外 开销 。 










不 可 接受 区 域 ， 
PURGE EAT 


只 有 当 风 险 降 低 是 不 切 
实际 或 代价 十 分 昂贵 时 ， 
风险 方 可 容忍 


微不足道 的 风险 
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举例 来 说 ， 对 于 一 个 公司 ， 对 偶然 发 生 的 污染 事故 的 处 理 成 本 要 比 安装 防止 污染 的 装置 的 
成 本 小 。 然 而 ， 因 为 公众 和 媒体 不 会 容忍 这 样 的 事故 ， 不 预防 而 选择 清理 污染 就 变 得 不 再 能 够 接 
受 。 这 样 的 事件 可 能 还 要 导致 风险 的 重新 分 类 。 比 如 ， 认 为 不 太 可 能 发 生 的 风险 (因此 在 
ALARP 区 域 中 ) WRASHRE MRM TARTAR, Winget, MBARA MBA, 

危险 评估 过 程 包 括 估计 风险 可 能 性 和 风险 的 严重 性 。 由 于 危险 和 事故 不 常见 ， 所 以 危险 评 
估 过 程 通常 是 困难 的 ， 所 以 有 很 多 工程 师 中 没有 经 历 过 危险 事件 或 事故 的 直接 经 验 。 可 能 性 和 
严重 性 使 用 一 些 比较 的 语言 给 出 ,例如 “很 可 能 ”"、“ 不 太 可 能 "、“ 罕 见 的 ”和 “高 "、“ 中 ” 
“ 低 ” 等 。 如 果 可 获得 足够 的 危险 事件 和 事故 来 作为 统计 分 析 数 据 ， 就 可 能 量化 这 些 术 语 。 

图 12-3 给 出 一 个 风险 分 类 ， 对 应 前 面 章 节 中 讨论 的 胰岛 素 注 射 系统 中 找 出 的 危险 。 把 由 于 
计算 错误 导致 的 胰岛 素 过 量 与 胰岛 素 量 过 低 的 危险 区 分 开 来 。 一 次 胰岛 素 过 量 在 短期 内 潜在 地 
存在 比 胰岛 素 量 过 低 更 高 的 危险 。 胰 岛 素 过 量 可 以 导致 感知 功能 性 障碍 、 昏 迷 、 甚 至 死亡 。 胰 岛 
素 量 过 低 引 起 血糖 过 高 。 在 短期 来 看 这 会 导致 疲劳 但 是 不 会 非常 严重 ;然而 长 期 来 看 ， 它 们 可 能 
导致 严重 的 心脏 、 肾 脏 以 及 眼睛 问题 。 


2. RE RIT Bait 中 度 低 低 
3. 硬件 监控 系统 失败 中 度 中 度 低 
4. 电源 失败 
5 机 器 未 正常 安装 
6. BRR 
8. 电子 于 扰 
9. 过敏 反应 



























































图 12-3 胰岛 素 泵 系统 的 风险 分 类 


图 12-3 中 的 危险 4 ~ 危险 9 跟 软 件 无 关 ， 但 是 软件 仍然 要 承担 危险 探测 的 角色 。 监 控 硬件 的 
软件 应 该 监控 系统 状态 并 警告 潜在 的 问题 。 通 常 ， 警 告 在 危险 导致 事故 之 前 被 检测 出 来 。 可 以 被 
检测 出 来 的 危险 的 例子 有 : 电池 断 电 和 血糖 传感器 放置 不 正确 。 

当然 ， 这 个 监控 软件 是 与 安全 相关 的 ， 因 为 危险 检测 失败 会 导致 事故 发 生 。 如 果 监 视 系 统 失 
败 但 是 硬件 正常 工作 ， 那 么 这 就 不 是 一 个 严重 失败 。 然 而 如 果 监 视 系统 失败 以 至 于 硬件 失败 没 
有 被 检测 到 ， 那 么 这 就 是 更 加 严重 的 后 果 。 


12.2.3 危险 分 析 


危险 分 析 是 指 发 现 安全 性 要 求 极 高 系统 中 危险 根源 的 过 程 。 你 的 目标 是 找 出 什么 事件 或 事 
件 的 组 合 是 引起 一 个 系统 失败 的 危险 。 为 做 到 这 一 点 ， 你 可 以 使 用 从 上 到 下 或 者 从 下 向 上 的 研 
究 方法 。 推 理 技 术 ， 可 能 是 较 容易 的 一 种 方法 ， 这 个 方法 是 从 危险 开始 处 分 析 可 能 引发 的 失败 ; 
归纳 法 是 从 一 些 系统 失败 处 开始 ， 找 出 可 能 引起 该 失败 的 危险 。 只 要 可 行 ， 两 种 方法 都 可 以 用 于 
危险 分 析 。 , 

人 们 提出 了 各 种 各 样 的 危险 分 解 与 分 析 技 术 。Storey (1996) 对 这 些 做 了 总 结 ， 包 括 审查 和 
核对 表 技 术 、 形 式 化 分 析 技 术 ， 如 Petri 网 分 析 (Peterson, 198); 形式 馆 辑 (Jahania 和 Mok, 
1986) 和 缺陷 树 分 析 (Leveson 和 Stolzry, 1987; Storey, 1996) 等 。 这 里 没有 足够 的 篇 幅 来 讲述 
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所 有 的 技术 ， 所 以 集中 讲解 一 个 广泛 使 用 的 基于 缺陷 树 的 危险 分 析 方法 。 这 个 技术 很 易于 理解 ， 
并 不 需要 专业 领域 知识 。 

要 做 缺陷 树 分 析 ， 先 要 从 所 有 已 经 识别 出 的 危险 开始 。 对 于 每 一 个 危险 ， 要 通过 回潮 发 现 可 
能 引起 该 危险 的 原因 。 将 危险 置 于 树 的 根 节点 ， 并 识别 出 所 有 能 导致 此 危险 的 那些 系统 状态 。 对 
每 一 个 这 样 的 状态 ， 接 下 来 就 是 找 出 更 多 能 导致 该 状态 的 那些 状态 。 继 续 分 解 直到 达到 风险 的 
所 有 原因 。 较 之 那些 只 有 一 个 根本 原因 的 危险 ， 由 一 组 根本 原因 的 组 合 引 起 的 危险 导致 事故 的 
发 生 的 可 能 性 要 小 得 多 。 

图 12-4 是 关于 胰岛 素 泵 系统 中 的 软件 相关 危险 的 一 棵 缺陷 树 。 这 些 危险 能 导致 不 正确 的 胰 
岛 素 传输 剂量 。 在 这 种 情况 下 ， 把 胰岛 素 不 足 与 胰岛 素 过 量 合并 为 一 种 危险 ， 即 “不 正确 的 胰 
岛 素 剂量 使 用 ” 。 这 减少 了 所 需要 的 缺陷 树 的 数量 。 当 然 ， 在 指定 软件 应 该 如 何 对 这 些 危险 做 出 
反应 的 时 候 ， 必 须 区 分 胰岛 素 低 剂量 与 胰岛 素 过 量 的 区 别 。 如 前 面 所 讲 ， 它 们 不 是 同等 重要 一 


短期 来 看 ， 过 量 有 更 大 的 危险 。 
不 正确 的 胰岛 
过 剂量 管理 





图 12-4 缺陷 树 的 例子 


从 图 12-4 可 以 看 到 : 

1. 有 3 种 情况 可 以 导致 不 正确 的 胰岛 素 剂量 使 用 。 血 糖 浓 度 可 能 被 错误 测量 ， 所 以 胰岛 素 
需求 量 也 因 错 误 的 输入 而 被 错误 计算 。 传 输 系 统 可 能 对 指定 胰岛 素 注 射 量 的 指令 没有 正确 反应 。 
另外 ,剂量 可 能 计算 正确 但 是 被 过 早 或 过 迟 传输 。 

2 缺陷 树 的 左 枝 是 血糖 值 水 平 的 错误 测量 。 这 可 能 是 因为 提供 一 个 输入 以 计算 血糖 水 平 的 
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传感器 失败 ， 也 可 能 是 因为 对 血糖 水 平 的 计算 执行 错误 。 血 糖 值 的 计算 是 根据 多 个 测量 得 到 的 
参数 ， 比 如 皮肤 的 传导 性 。 不 正确 的 计算 可 能 是 由 错误 的 算法 或 者 一 个 算术 错误 引起 的 ， 此 错误 
可 能 因 用 浮 点 数 引 起 的 。 

3. 该 树 的 中 间 分 支 是 关于 时 序 问题 的 ， 断 定 这 些 问题 只 能 由 系统 时 序 失 败 引起 。 

4. 树 的 右 枝 是 关于 传输 系统 失败 的 ， 检 查 这 个 失败 的 可 能 的 原因 。 这 些 原因 可 能 来 自 对 胰 
岛 素 需求 的 不 正确 的 计算 ,或 者 是 因为 没有 能 够 传 给 胰岛 素 泵 正确 的 信和 号。 同样 ， 一 次 不 正确 的 
计算 可 能 源 于 算法 失败 或 算术 错误 。 . 

缺陷 树 也 用 在 对 潜在 硬件 问题 的 识别 上 。 硬 件 错误 树 还 可 帮助 理解 软件 需求 ， 以 检测 和 修 
正 问 题 。 例 如 ， 胰 岛 素 的 提供 频率 不 会 是 很 高 的 ， 一 般 不 超过 每 小 时 三 次 ， 有 时 会 更 少 。 因 此 处 
理 器 有 能 力 运行 诊断 和 自 检 程 序 。 在 对 患者 产生 严重 后 果 之 前 ， 硬 件 错误 ， 比 如 传感器 、 泵 或 者 
是 时 序 错误 就 可 以 被 发 现 并 报警 。 


12.2.4 风险 降低 


一 旦 识别 出 潜在 的 风险 及 其 根源 ， 我 们 就 能 够 导出 安全 性 需求 以 管理 风险 ， 并 确保 不 会 发 
生 各 种 事故 。 我 们 可 以 使 用 3 个 可 行 的 策略 : 

l. 危险 避免 ”系统 设计 使 得 危险 不 能 发 生 。 

2. 危险 检测 和 排除 ”系统 设计 使 得 可 以 在 危险 导致 事故 之 前 检测 出 危险 并 排除 它 。 

3. 灾害 限制 ”系统 设计 使 得 事故 后 果 影 响 达 到 最 小 。 

通常 ， 安 全 性 要 求 极 高 的 系统 的 设计 者 会 综合 使 用 这 些 方法 。 举 例 来 说 ， 处 理 无 法 忍受 的 危 
险 时 ， 要 最 大 可 能 减少 其 发 生 的 可 能 性 ， 并 增加 一 个 保护 系统 以 防 这 个 危险 发 生 。 例 如 ， 在 医药 
工厂 控制 系统 中 ， 系 统 将 努力 去 检测 和 避免 反应 器 的 压力 过 高 。 尽 管 如 此 ， 也 还 会 有 一 个 独立 的 
保护 系统 来 提供 对 压力 的 监视 ， 并 当 检 测 到 压力 过 高 的 时 候 自动 开启 减 压 阀 。 

在 胰岛 素 注射 系统 中 ,“ 安 全 状态 ”是 没有 胰岛 素 注射 的 关闭 状态 。 在 短 时 间 内 这 不 会 对 病人 
健康 带 来 威胁 。 考 虑 到 可 能 导致 的 错误 的 胰岛 素 泵 系统 软件 失败 ， 下 面 这 些 内容 就 需要 改进 了 : 

L 算术 错误 ”该 错误 发 生 在 一 次 错误 的 算术 计算 引起 的 一 个 表示 失败 ， 在 系统 描述 中 ， 一 定 
要 识别 出 所 有 可 能 的 算术 错误 ， 并 为 每 个 可 能 发 生 的 错误 设置 异常 处 理 程序 。 系 统 描述 还 要 给 出 每 
当 这 种 错误 发 生 时 所 应 该 采取 的 行动 。 默 认 的 安全 的 行动 会 停止 注射 系统 并 启动 一 个 警告 。 

2. 算法 错误 ”这 是 一 种 更 困难 的 情形 ， 因 为 没有 明显 的 必须 处 理 的 程序 异常 。 比 较 要 求 的 
胰岛 素 剂量 和 之 前 传输 的 剂量 这 类 错误 能 被 检测 到 。 如 果 高 出 很 多 ， 这 可 能 表明 计算 出 的 剂量 
是 错误 的 。 系 统 也 可 以 继续 跟踪 剂量 序列 ， 在 有 多 个 高 于 平均 值 的 剂量 被 注射 时 ， 就 发 一 个 警告 
并 限制 进一步 的 药 量 注 射 。 

针对 胰岛 素 泵 系统 ， 我 们 所 得 到 的 部 分 安全 需求 列 于 图 12-5 中 。 它 们 是 用 户 需求 ， 自 然 地 ， 
它们 应 该 更 详细 地 表述 在 最 后 的 系统 描述 中 。 在 图 12-5 中 ， 所 提 及 的 表 3 和 表 4 都 存在 于 需求 
文档 中 ， 此 处 并 不 列 出 。 


: 系统 所 传输 的 胰岛 素 单个 剂量 不 应 该 大 于 一 个 指定 的 最 大 值 

: 系统 所 传输 的 胰岛 素 每 日 总 剂量 不 应 该 大 于 一 个 指定 的 最 大 值 

: 系统 应 该 包括 一 个 硬件 诊断 工具 ， 该 工具 在 每 小 时 内 应 执行 不 少 于 4 次 

: 系统 应 该 包含 异常 处 理 程序 ， 异 常 处 理 程序 处 理 系统 中 的 所 有 识别 出 的 异常 ， 参 见 表 3 
: 当 任 何 硬件 或 软件 异常 发 生 时 ， 报 警 器 就 会 发 出 响声 ， 同 时 诊断 消息 〈 如 在 表 4 中 所 列 ) 也 会 显示 出 来 
: 在 报警 事件 中 ， 胰 岛 案 传输 应 暂停 ， 直 到 用 户 重新 没 定 系统 并 清除 报警 


图 12-5 ”安全 性 需求 的 例子 
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12.3 可靠 性 描述 


正如 第 10 章 所 述 ， 系 统 总 的 可 靠 性 取决 于 硬件 可 靠 性 、 软 件 可 靠 性 ， 以 及 操作 员 的 可 靠 性 。 
系统 软件 必须 考虑 到 这 一 点 。 同 时 要 包括 补偿 软件 失败 的 需求 ， 可 能 还 要 有 相关 的 可 靠 性 需求 ， 
以 帮助 解决 检测 和 恢复 硬件 失败 和 操作 员 错 误 。 

可 靠 性 不 同 于 安全 性 和 信息 安全 性 ， 因 为 它 是 可 度量 的 系统 属性 。 这 就 是 说 ， 指 定 所 要 求 的 
可 人 靠 性 等 级 ， 实 时 监控 系统 的 运行 ， 以 及 检查 所 要 求 的 可 靠 性 是 否 达 到 要 求 ， 这 些 是 完全 可 能 做 
到 的 。 比 如 说 ， 一 个 可 靠 性 需求 可 能 是 系统 失败 要 求 系统 重启 的 次 数 不 能 超过 每 星期 一 次 。 每 次 
这 样 的 失败 发 生 都 会 被 记录 下 来 ， 这 样 你 就 可 以 查看 可 靠 性 需求 等 级 是 否 已 经 达到 。 如 果 没 有 ， 
你 可 以 修改 可 靠 性 需求 ， 也 可 以 提交 一 个 修改 要 求 以 应 对 潜在 的 系统 问题 。 你 可 能 决定 接受 一 
个 较 低 等 级 的 可 靠 性 ， 因 为 改变 系统 以 提高 可 靠 性 或 者 修复 问题 可 能 有 负面 效果 ， 比 如 较 低 的 
性 能 或 吞吐 量 。 

比较 而 言 ， 安 全 性 和 信息 安全 性 是 避免 不 希望 的 情形 ， 而 不 是 指定 一 个 希望 的 安全 性 和 信 
息 安全 性 的 “等 级 "。 在 系统 的 生命 周期 中 甚至 一 次 这 样 的 情况 都 是 不 可 接受 的 ， 而 且 ， 如 果 这 
样 的 情况 发 生 了 ， 必 须 做 出 系统 变更 。 像 “系统 缺陷 应 该 造成 少 于 每 年 10 次 伤亡 ”的 表述 是 没 
有 道理 的 。 一 旦 伤害 发 生 ， 系 统 问 题 必须 得 到 纠正 。 

因此 ， 可 靠 性 需求 分 为 两 种 : 

l. 非 功能 性 需求 ， 定 义 了 在 用 户 的 日 常 使 用 中 可 接受 的 失败 的 次 数 ， 或 系统 不 可 用 的 时 间 。 
这 些 是 定量 的 可 靠 性 需求 。 

2. 功能 性 需求 ， 定 义 了 系统 和 避免 、 缺 陷 检 测 或 容错 等 软件 功能 ， 因 而 保证 这 些 缺 陷 不 会 
引起 系统 失败 。 

量化 的 可 靠 性 需求 引出 相关 的 功能 性 系统 需求 。 为 达到 某 种 可 靠 性 需求 等 级 ， 系 统 的 功能 
性 和 设计 需求 应 该 描述 缺陷 并 采取 行动 ， 以 保证 这 些 缺 陷 不 会 导致 系统 失败 。 

可 靠 性 描述 的 过 程 可 以 基于 如 图 12-1 中 的 主要 的 风险 驱动 描述 过 程 : 

L 风险 确认 ”在 这 个 阶段 ， 要 确认 可 能 导致 菜 种 经 济 损失 的 系统 失败 的 类 型 。 比 如 说 ， 一 
个 电子 商务 系统 可 能 因 不 可 用 而 导致 客户 不 能 发 出 命令 ,或 一 个 失败 损坏 了 数据 ， 需 要 时 间 来 
从 备份 中 恢复 系统 数据 库 ， 并 重新 进行 已 经 进入 交易 步骤 的 交易 。 在 图 12-6 中 显示 的 可 能 的 失 
败类 型 的 列表 ， 可 以 作为 一 个 风险 识别 的 起 始点 。 

2. 风险 分 析 包括 了 估计 不 同 种 类 软件 失败 所 造成 的 损失 ， 并 选择 较 高 损失 的 失败 进行 继 
续 分 析 。 


失败 类 型 


无 法 提供 服务 























系统 不 可 用 ， 不 能 够 传送 服务 给 用 户 。 你 可 以 对 它 进一步 分 类 为 无 法 提供 紧要 的 服务 
和 无 法 提供 非 紧要 的 服务 。 非 紧要 服务 失败 的 损失 要 小 于 紧要 服务 失败 的 损失 


系统 不 能 正确 地 提供 服务 绘 用户。 同样 ， 我 们 可 以 用 紧要 的 服务 和 非 紧 要 的 服务 、 或 
者 小 错误 和 主要 错误 来 定义 它们 


系统 的 失败 导致 对 系统 本 身 或 其 数据 的 损害 。 这 常常 但 不 一 定 与 其 他 类 型 失败 同时 发 生 


提供 不 正确 的 服务 









系统 /数据 崩溃 








图 12-6 系统 失败 的 类 型 


3. 风险 分 解 ”在 这 个 阶段 ， 要 对 严重 的 和 可 能 的 系统 失败 进行 根本 原因 分 析 。 然 而 ， 在 需 
求 阶段 这 可 能 是 做 不 到 的 ， 因 为 根本 原因 可 能 依赖 于 系统 设计 决策 。 你 可 能 在 设计 和 开发 阶段 
还 要 回头 来 做 这 个 工作 。 


第 12 章 可 依赖 性 与 信息 安全 性 描述 


4. 风险 降低 ”在 这 个 阶段 ， 你 应 该 做 出 定量 的 可 靠 性 描述 来 阐明 不 同 种 类 型 的 失败 的 可 接 
受 概率 。 这 些 当 然 都 应 该 把 失败 造成 的 损失 考虑 在 内 。 你 应 该 为 不 同 的 系统 服务 使 用 不 同 的 概 
率 。 你 可 能 还 要 生成 功能 可 靠 性 需求 。 同 样 的 ， 这 个 过 程 可 能 也 需要 等 待 系统 设计 决策 的 完成 。 
然而 ， 正 如 12.3.2 节 讨 论 的 那样 ， 有 时 候 做 出 定量 的 描述 是 很 难 的 。 你 可 能 只 能 做 到 对 功能 可 
靠 性 需求 的 识别 。 


12. 3. 1 可 靠 性 度量 


总 的 来 说 ， 可 靠 性 可 以 描述 为 系统 在 一 个 指定 的 操作 环境 中 运行 时 发 生 失 败 的 概率 。 如 果 


你 愿意 接受 ， 比 如 说 ， 在 1000 次 业务 处 理 中 有 一 次 是 失败 的 ， 那么 你 可 以 描述 失败 的 概率 为 
0. 001。 这 当然 并 不 意味 着 ， 在 1000 次 事务 处 理 中 你 一 定 会 看 到 一 次 失败 。 它 意味 着 如 果 你 观察 
N 千 次 事务 处 理 ， 你 看 到 发 生 失 败 的 次 数 应 该 是 在 NN 这 个 数 附近 。 你 可 以 为 不 同 种 类 的 失败 和 
系统 的 不 同 部 分 细 化 这 个 数字 。 你 可 以 决定 令 系 统 的 要 求 很 高 的 部 分 相 比 要 求 不 那么 高 的 部 分 
有 较 低 的 失败 发 生 概率 。 

用 两 个 很 重要 的 度量 来 描述 可 靠 性 ， 还 有 两 个 额外 度量 是 用 来 描述 相关 系统 的 可 用 性 属性 。 
度量 的 选择 取决 于 被 描述 系统 的 类 别 和 应 用 领域 的 需求 。 这 些 度量 是 ， 

1 请求 失 败 的 概率 (POFOD) ”如 果 使 用 这 个 度量 ， 你 就 定义 了 系统 服务 请 求 将 导致 失败 
的 可 能 性 。 所 以 ，POFOD =0. 001 意味 着 当做 出 一 个 请 求 的 时 候 可 能 发 生 失 败 的 概率 是 1/1000, 

2. 失败 发 生 率 (ROCOF) ”这 个 度量 阐明 在 一 段 时 间 (比如 一 个 小 时 ) ， 或 在 一 定 的 系统 
执行 的 次 数 之 内 ,能 够 观察 到 的 系统 失败 的 次 数 。 在 上 面 的 例子 当中 ，ROCOF 是 1/1000, 
ROCOF 的 倒数 是 失败 发 生 的 平均 时 间 (MTTF) ， 其 常用 在 可 依赖 性 度量 当中 。MTTF 是 观察 到 
的 系统 失败 时 间 间 隔 的 平均 值 。 因 此 ，ROCOF 为 每 小 时 两 次 暗示 着 平均 失败 时 间 是 30 分 钟 。 

3. 可 用 性 (AVAIL) 系统 的 可 用 性 反映 出 当 需 要 它 的 时 候 它 提供 服务 的 能 力 。AVAIL 是 
当 向 某 一 服务 提出 要 求 的 时 候 系 统 的 可 操作 性 。 因 此 ，0. 9999 的 可 用 性 是 指 ， 平均 来 说 系统 在 
操作 时 间 的 99. 99% 是 可 用 的 。 图 12-7 展示 了 实际 中 不 同 的 可 用 性 等 级 意味 着 什么 。 


系统 在 90% 的 时 间 里 是 可 用 的 。 这 意味 着 ， 在 24 小 时 (1440 分 钟 ) 时 间 里 ， 系 统 有 144 分 
钟 将 是 不 可 用 的 


系统 在 24 小 时 的 时 间 里 不 可 用 的 时 间 是 14. 4 分 钟 


系统 在 24 小 时 的 时 间 里 不 可 用 的 时 间 84 秒 








图 12-7 可 用 性 描述 


当 请 求 失败 会 产生 一 个 严重 的 系统 失败 的 时 候 ，POFOD 应 该 用 做 可 靠 性 度量 。 这 一 点 与 提 
出 请 求 的 频率 无 关 。 例 如 ， 一 个 保护 系统 监控 化 学 反应 并 在 过 加 热 的 情况 下 停止 反应 进行 ， 如 果 
过 加 热 ， 就 应 该 用 POFOD 定义 的 可 靠 性 描述 。 总 的 来 说 ， 对 保护 系统 的 要 求 是 不 经 常 的 ， 因 为 
这 一 系统 是 在 所 有 的 修复 措施 失败 之 后 的 最 后 防线 。 因 此 POFOD 为 0.001 (1000 次 请 求 时 有 一 
次 是 失败 的 ) 看 起 来 可 能 是 有 风险 的 ， 但 如 果 在 其 生命 周期 中 只 有 两 三 次 对 系统 的 请 求 ， 那 么 
你 可 能 永远 见 不 到 系统 失败 。 

ROCOF 是 在 对 系统 做 有 规律 的 请 求 而 不 是 断断续续 的 请 求 时 最 恰当 的 度量 。 例 如 ， 在 一 个 
处 理 大 量 事务 的 系统 当中 ， 你 可 能 要 指定 一 个 每 天 ROCOF 为 10 的 失败 发 生 率 。 这 意味 着 你 愿意 
接受 平均 每 天 10 次 事务 处 理 不 能 够 成 功 完成 并 必须 取消 的 事实 。 要 么 ， 你 可 以 定义 失败 发 生 率 
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为 每 1000 次 事务 中 失败 的 次 数 。 

如 果 失 败 之 间 的 绝对 时 间 很 重要 的 话 ， 你 可 以 定义 所 需要 的 可 靠 性 为 失败 平均 间隔 时 间 。 
例如 ， 如 果 你 在 为 一 个 有 很 长 的 事务 处 理 序列 的 系统 定义 可 靠 性 需求 〈 比 如 说 计算 机 辅助 设计 
系统 ) ， 你 应 该 把 可 靠 性 定义 为 长 的 失败 平均 间隔 时 间 。MTTF 应 该 比 一 个 用 户 在 他 的 模型 上 连 
续 工 作 而 未 存盘 的 平均 时 间 要 长 得 多 。 这 将 意味 着 用 户 无 论 在 哪 一 个 工作 阶段 中 都 不 太 可 能 由 
于 失败 丢失 数据 。 

为 评估 系统 可 靠 性 ， 你 需要 获取 系统 运行 的 数据 。 数 据 需 求 可 能 包括 : 

l. 对 确定 数量 的 系统 服务 请 求 统计 系统 失败 的 次 数 ， 这 是 用 来 测量 POFOD 指标 的 。 

2. 系统 失败 平均 间隔 时 间 (或 所 事务 处 理 的 数目 ) ， 以 及 总 的 时 间或 者 是 总 的 事务 执行 次 
数 。 这 是 用 来 测量 ROCOF 和 MTTF 的 。 

3. 系统 失败 导致 不 能 提供 服务 之 后 的 维修 和 重启 所 需 的 时 间 。 这 是 用 来 测量 可 用 性 的 。 可 
用 性 不 仅 取 决 于 失败 间隔 时 间 ， 而 生 取 决 于 系统 恢复 运行 的 时 间 。 

在 这 些 度量 中 使 用 的 时 间 是 日 历时 间或 处 理 机 时 间或 其 他 离散 单位 ， 如 事务 处 理 的 数目 。 
在 需要 花 许多 时 间 来 等 待 服务 请 求 的 响应 的 系统 中 ， 如 电话 交换 系统 ， 应 该 使 用 的 时 间 单 位 是 
处 理 机 时 间 。 如 果 使 用 日 历时 间 ， 那 么 这 将 包括 系统 什么 也 不 做 的 时 间 。 

对 于 连续 运行 的 系统 ， 你 应 该 使 用 日 历时 间 。 监 视 系统 ， 比 如 报警 系统 和 其 他 种 类 的 过 程控 
制 系统 也 归 为 这 个 类 别 。 提 供 事务 处 理 的 系统 (比如 银行 ATM 机 或 航空 预定 系统 ) 在 一 天 的 不 
同时 候 有 变化 的 负载 。 在 这 些 情 况 下 ,“ 时 间 ” 的 单位 应 该 是 事务 的 数量 〈 比 如 说 ， 请 求 失败 的 
可 能 性 应 该 表示 为 每 N 千 次 事务 中 失败 事务 的 次 数 。) 


12.3.2 非 功 能 性 的 可 靠 性 需求 


非 功能 性 的 可 靠 性 需求 是 对 系统 可 靠 性 和 可 用 性 的 要 求 做 出 的 量化 描述 ， 使 用 前 面 讲述 的 
度量 之 一 来 计算 。 量 化 的 可 靠 性 和 可 用 性 描述 多 年 来 被 用 于 安全 性 极 高 的 系统 中 ， 但 是 很 少 用 
在 业务 要 求 极 高 的 系统 中 。 然 而 ， 随 着 更 多 的 计算 机 向 其 系统 要 求 24/7 的 服务 ， 很 可 能 这 个 技 
术 会 被 更 多 地 使 用 。 

导出 量化 可 靠 性 描述 有 以 下 几 个 优点 : 

1. 决定 可 靠 性 需要 的 等 级 的 过 程 有 助 于 乔 清 楚 信息 持 有 者 到 底 需 要 什么 。 也 帮助 信息 持 有 
者 理解 不 同 种 类 的 系统 失败 ， 也 让 他 们 清楚 要 达到 高 级 别 的 可 靠 性 是 需要 昂贵 的 花费 的 。 

2. 评估 何 时 可 以 停止 测试 一 个 系统 。 你 应 当 在 系统 达到 了 要 求 的 可 靠 性 等 级 的 时 候 停止 
测试 。 

3. 它 是 评估 系统 可 靠 性 的 不 同 设计 策略 的 方法 。 你 可 以 对 每 个 策略 如 何 影响 可 靠 性 需求 等 
级 做 出 判断 。 

4. 如果 一 个 外 部 管理 者 需要 在 进入 一 个 服务 之 前 许可 系统 〈 比如， 在 飞行 器 上 对 飞行 安全 
要 求 严格 的 系统 ) ， 那 么 能 说 明 已 达到 一 个 要 求 的 可 靠 性 目标 的 证 据 在 系统 认证 中 很 重要 。 

为 建立 需要 的 系统 可 靠 性 等 级 ， 你 必须 要 考虑 到 系统 失败 可 能 造成 的 相关 的 损失 。 不 仅仅 
是 经 济 上 的 损失 ， 还 有 商业 上 的 声望 的 损失 。 声 望 上 的 损失 意味 着 消费 者 会 投向 其 他 地 方 。 虽 然 
短期 来 看 系统 失败 的 损失 可 能 比较 小 ， 但 是 长 期 的 损失 可 能 更 加 显著 。 比 如 说 ， 如 果 你 尝试 访问 
一 个 电子 商务 网 站 但 发 现 是 不 可 用 的 ， 你 可 能 会 试 着 到 别 的 地 方 找 你 想 要 的 东西 而 不 是 一 直 等 
着 这 个 网 站 直到 它 可 用 为 止 。 如 果 这 种 情况 发 生 了 几 次 ， 你 可 能 再 也 不 在 这 个 网 站 买 东西 了 。 

使 用 度量 〈 比如 POFOD ROCOF AVIAL) 描述 可 靠 性 的 问题 是 ， 可 能 会 产生 过 描述 而 因此 导 
致 高 开发 和 高 验证 花费 。 其 原因 是 系统 的 拥有 者 发 现 很 难 将 自己 的 经 验 解释 成 量化 的 描述 。 他 
们 可 能 认为 POFOD 是 0. 001 (1000 次 要 求 中 有 一 次 失败 ) 表示 一 个 相对 不 可 靠 的 系统 。 然 而 正 
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如 已 经 讨论 过 的 ， 如 果 对 服务 的 要 求 很 不 常见 ， 它 很 可 能 表示 的 是 一 个 很 高 的 可 靠 性 。 

如 果 你 用 度量 来 描述 可 靠 性 ， 评 估 需 要 的 可 靠 性 级 别 已 经 达到 显然 很 重要 。 进 行 这 种 评估 
是 系统 测试 的 一 部 分 。 为 了 得 到 系统 可 靠 性 的 数据 ， 你 需要 观察 一 定数 量 的 系统 失败 。 如 果 你 有 
0. 0001 的 请 求 失败 的 可 能 性 (1 万 次 要 求 中 有 一 次 失败 ) ， 那 么 你 就 要 设计 5 万 或 6 万 次 请 求 并 
观察 到 几 次 失败 。 现 实 中 设计 并 实验 这 么 多 次 的 实验 或 许 是 不 可 能 的 。 因 此 ， 对 可 靠 性 的 过 描述 
会 导致 很 高 的 测试 费用 。 

当 描 述 系统 的 可 用 性 的 时 候 ， 你 可 能 遇 到 同样 的 问题 。 尽 管 一 个 非常 高 级 别 的 可 用 性 要 求 
可 能 看 起 来 很 诱 人 ， 但 大 多 数 的 系统 的 请 求 模式 是 间歇 性 的 ，( 比如 说 一 个 商业 系统 最 多 使 用 的 
时 间 是 在 工作 时 间 ) 而 且 单一 的 可 用 性 数据 不 能 真正 反映 用 户 的 需求 。 在 系统 使 用 期 间 你 将 需 
要 很 高 的 可 用 性 但 是 其 他 时 候 并 不 需要 。 当 然 ， 这 依赖 于 系统 的 类 型 ， 可 能 现实 当中 0.999 与 
0. 9999 并 没有 区 别 。 

过 描述 的 根本 问题 是 可 能 在 现实 当中 不 可 能 证 明达 到 一 个 很 高 的 可 靠 性 或 可 用 性 ， 比 如 ， 
一 个 系统 被 设计 来 在 安全 性 要 求 极 高 的 应 用 中 使 用 ， 并 因此 需要 在 其 整个 生命 周期 中 永远 不 会 
失败 。 假 设 将 会 安装 该 系统 的 1000 个 拷贝 ， 且 系统 每 秒 钟 运行 1000 次 。 系 统 的 预计 生命 期 是 10 
年 。 总 的 系统 执行 次 数 大 约 是 x 10“。 描 述 失 败 发 生 率 为 执行 次 数 的 1/10” 是 没有 意义 的 (这 
要 考虑 到 一 些 安全 性 因素 ) ， 因 为 你 不 能 用 足够 长 时 间 去 测试 系统 来 验证 这 个 系统 的 这 样 的 可 靠 
性 水 平 。 

机 构 因 此 必须 现实 地 对 待 是 否 值得 去 描述 和 验证 一 个 高 水 平 的 可 靠 性 系统 的 问题 。 高 可 千 
性 水 平 在 那些 可 靠 操作 要 求 极 高 的 系统 中 显然 是 合理 的 ， 比 如 电话 交换 系统 ， 或 系统 失败 可 能 
导致 大 的 经 济 损失 的 系统 。 但 是 对 于 很 多 种 类 的 商业 和 科研 系统 就 不 是 那么 回 事 了 。 这 样 的 系 
统 有 温和 的 可 靠 性 需求 ， 比 如 失败 的 损失 仅仅 是 过 程 的 耽搁 并 且 从 这 些 损失 中 恢复 是 简单 的 而 
且 相对 不 昂贵 的 。 

可 以 通过 以 下 步 又 避免 对 系统 可 靠 性 过 度 描述 : 

1. 针对 不 同类 型 的 失败 定义 可 用 性 和 可 靠 性 需求 。 严 重 失 败 的 发 生 概率 应 该 比 小 的 失败 发 
生 的 概率 低 。 

2. 针对 不 同类 型 的 服务 定义 可 用 性 和 可 靠 性 需求 。 影 响 最 紧要 服务 的 失败 发 生 概率 要 较 低 ， 

只 有 局 部 影响 的 失败 的 发 生 概率 可 以 相对 较 高 。 因 而 你 要 限制 对 影响 最 紧要 系统 服务 的 量化 的 
可 靠 性 描述 。 

3. 决定 是 否 真正 需要 软件 系统 的 高 可 靠 性 需求 ， 或 者 是 否 系统 可 靠 性 目标 可 以 通过 其 他 方 
式 达 到 。 比 如 说 ， 可 以 使 用 错误 探测 机 制 来 检查 系统 的 输出 并 有 一 个 修改 错误 的 过 程 。 这 样 的 话 
产生 此 输出 的 系统 可 能 就 不 需要 高 可 靠 性 了 。 

为 解释 第 3 个 观点 ， 考 虑 能 够 存 取 现金 和 为 消费 者 提供 其 他 服务 的 银行 ATM 机 的 可 靠 性 需 
求 。 如 果 有 硬件 和 软件 的 ATM 问题 ， 将 导致 非 正确 的 输入 到 消费 者 账户 数据 库 。 这 些 可 以 通过 
定义 ATM 机 一 个 非常 高 的 硬件 和 软件 可 靠 性 得 以 避免。 

然而 ， 对 于 怎样 识别 和 纠正 不 正确 的 账户 交易 银行 拥有 多 年 的 经 验 。 他 们 使 用 会 计 方法 来 
检查 什么 时 候 出 的 错 。 大 多 数 的 事务 如 果 失 败 了 可 以 简单 地 把 它 取 消 掉 ， 结 果 是 不 会 引起 银行 
的 损失 而 且 对 于 用 户 造成 的 不 便 也 很 小 。 运 行 ATM 网 络 的 银行 因此 接受 这 样 的 一 个 事实 ， 即 
ATM 的 失败 可 能 意味 着 很 小 一 部 分 的 交易 是 不 正确 的 。 但 是 事后 再 修改 这 些 错误 较 之 为 了 避免 
错误 交易 而 做 很 高 的 花费 要 更 经 济 得 多 。 

对 于 一 个 银行 来 说 (以 及 银行 的 用 户 ) ATM 网 络 的 可 用 性 比 个 别 ATM 交易 是 否 失败 更 重 
要 。 可 用 性 的 缺乏 意味 着 对 柜台 服务 发 生 更 多 请 求 、 用 户 不 满 、 修 复 网 络 的 工程 花费 ， 等 等 。 因 
此 ， 对 于 基于 事务 的 系统 ， 比 如 银行 业 和 电子 商务 系统 ， 可 靠 性 描述 的 焦点 通常 在 于 描述 系统 的 
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可 用 性 。 

为 了 定义 一 个 ATM 网 络 的 可 用 性 ， 你 应 该 识别 系统 的 服务 ， 并且 对 每 一 项 服务 定义 其 所 需 
的 可 用 性 需求 。 它 们 是 : 

和 客户 的 账户 数据 库 服务 ; 

m 单个 ATM 所 提供 的 每 一 项 服务 ， 比 如 “取款 ”、“ 提 供 打 印 赁 条 ”等 。 

这 里 ， 数 据 库 的 服务 是 最 严格 的 ， 因 为 这 项 服务 的 失败 意味 着 网 络 中 的 所 有 ATM 都 不 能 
够 提供 服务 。 因 此 ， 你 应 该 把 这 项 服务 描述 为 高 可 用 的 。 在 这 种 情况 下 , 早上 7 点 到 11 点 一 
个 可 以 接受 的 可 用 性 数值 (忽略 安排 好 的 维护 和 升级 ) 可 能 是 0.9999 左右 。 这 意味 着 每 周 不 
可 用 的 时 间 少 于 一 分 钟 。 现 实 当中 ， 这 将 意味 着 很 少 的 用 户 会 受到 影响 而 且 会 引起 很 小 的 用 
户 不 便 。 

对 于 每 一 个 ATM， 总 的 可 用 性 依赖 于 机 械 的 可 靠 性 和 是 否 现金 用 尽 。 软 件 问题 产生 的 影 
响应 该 比 这 些 问题 产生 的 影响 要 少 。 因 此 ，A4ATM 的 软件 可 用 性 级 别 相对 不 高 是 可 以 接受 的 。 
因此 ATM 软件 的 可 用 性 可 描述 为 0. 999， 意 味 着 在 一 天 当中 一 台 机 器 不 可 用 的 时 间 为 1~2 
分 钟 。 

作为 可 靠 性 描述 的 进一步 的 例子 ， 考 虑 胰岛 素 注射 系统 。 在 这 个 系统 中 ， 每 天 要 多 次 注射 胰 
岛 素 ， 用 户 的 血糖 浓度 每 小 时 监视 。 因 为 系统 的 使 用 是 间歇 的 ， 而 且 失 败 后 果 是 严重 的 ， 最 适当 
的 可 靠 性 度量 是 POFOD (请 求 服务 失败 的 概率 ) 。 

可 以 将 胰岛 素 泵 的 失败 分 为 两 类 ; 

1. 短暂 的 软件 失败 。 这 是 一 类 可 以 由 用 户 来 修复 的 失败 ， 比 如 ， 可 以 重启 或 重新 校准 机 器 。 
对 于 这 种 类 型 的 失败 ， 相 对 较 低 的 POFOD 值 〈 假 设 0.002) 是 可 以 接受 的 。 这 意味 着 失败 可 能 
在 每 500 个 请 求 中 发 生 一 次 ， 大 约 为 每 3. 5 天 一 次 ， 因 为 血糖 含量 每 小 时 检查 5 次 。 

2. 永久 性 软件 失败 。 机 器 需要 由 厂家 维修 。 这 个 类 型 的 失败 概率 非常 低 才 行 。 大 约 一 年 一 
次 是 最 低 要 求 ， 因 此 ，POFOD 应 该 不 会 高 于 0. 000 02。 

然而 ， 如 下 面 一 节 所 讨论 的 ， 胰 岛 素 失败 不 会 带 来 生命 危险 ， 所 以 在 这 里 决定 需求 的 可 靠 性 
级 别 是 商业 因素 而 非 安全 因素 。 由 于 用 户 需 要 一 个 非常 快 的 维修 和 更 换 服务 ， 所 以 服务 的 费用 
是 非常 高 的 。 是 厂商 的 利益 决定 了 对 需要 修理 的 永久 性 失败 的 数量 。 


12.3.3 ”功能 可 靠 性 描述 


功能 可 靠 性 描述 包括 识别 影响 系统 的 可 靠 性 的 约束 和 特征 的 需求 。 对 于 可 靠 性 经 过 量化 描 
述 的 系统 ， 这 些 功 能 性 需求 对 于 确保 达到 可 靠 性 所 要 求 的 水 平 是 必须 的 。 

系统 中 有 三 种 功能 性 可 靠 性 需求 : 

L 检查 需求 ”这些 需求 识别 对 系统 输 和 人 的 检查 ， 以 确保 不 正确 的 或 者 是 越界 的 输入 在 被 系 
统 处 理 之 前 被 检测 到 。 

2. 恢复 需求 ”设置 这 些 需求 来 帮助 系统 在 一 次 失败 发 生 之 后 的 恢复 。 典 型 的 ， 这 些 需求 关 
注 的 是 维护 系统 及 其 数据 的 拷贝 并 定义 在 失败 后 如 何 重新 修复 系统 服务 。 

3. 元 余 性 需求 ”这 些 需 求 定义 系统 的 元 余 特征 来 保证 一 个 组 件 的 失败 不 会 导致 整个 系统 的 
失败 。 在 下 一 章 中 会 详细 讨论 这 一 点 。 

另外 ,可靠 性 需求 可 能 包括 可 靠 性 过 程 需求 。 这 些 需 求 是 用 来 确保 在 开发 过 程 中 使 用 那些 
好 的 实践 经 验 ， 主 要 是 能 够 降低 系统 失败 的 一 些 做 法 。 图 12-8 给 出 了 一 些 功能 可 靠 性 和 过 程 需 
求 的 例子 。 

没有 简单 的 规则 可 以 导出 功能 性 可 靠 性 需求 。 在 开发 要 求 极 高 的 系统 的 机 构 里 ， 通 常 有 机 
构 内 部 的 关于 可 能 的 一 些 可 靠 性 需求 和 这 些 需求 是 怎样 在 实际 中 影响 系统 的 可 靠 性 的 经 验 。 这 
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些 机 构 可 能 对 专门 种 类 的 系统 特别 在 行 ， 比 如 铁路 控制 系统 这样 可 靠 性 需求 就 可 以 在 此 类 系 
统 中 复 用 了 。 


RR»; 应 该 给 出 操作 员 的 所 有 输入 的 预定 义 范围 ， 系 统 应 该 检查 所 有 操作 员 的 输入 是 否 落 在 此 预定 义 的 范围 之 内 (检查 ) 


RR2; 病人 数据 库 的 拷贝 应 该 保存 在 两 个 独立 的 服务 器 上 ， 而 这 样 的 两 个 独立 服务 器 是 不 能 共存 于 同一 座 建筑 
WP RE, TR) 


RR3， 应 该 使 用 N 版 本 编程 来 实现 制 动 控制 系统 (TR) 
RR4; 系统 必须 用 Ada 的 一 个 子 集 来 实现 ， 并 使 用 静态 分 析 去 检查 〈 处 理 ) 




















图 12-8 ”功能 可 靠 性 需求 实例 


12.4 信息 安全 性 描述 


系统 的 信息 安全 性 需求 描述 与 安全 性 需求 有 很 多 相似 之 处 。 对 它们 进行 量化 描述 是 不 
太 现 实 的 ， 信 息 安全 性 需求 往往 是 “不 应 该 ”需求 类 型 ， 它 定义 那些 无 法 接受 的 系统 行 
为 ， 而 不 是 定义 系统 功能 。 但 是 ， 信 息 安 全 性 是 比 安全 性 更 加 有 挑战 性 的 属性 ， 有 以 下 几 
个 原因 : 

1， 当 考虑 到 安全 性 的 时 候 ， 你 可 以 认为 系统 所 安装 的 环境 不 是 有 敌意 的 。 没 有 人 想 要 引起 
一 个 安全 性 相关 的 事故 。 当 考虑 到 信息 安全 性 的 时 候 ， 你 必须 要 假设 对 系统 的 攻击 是 故意 的 ， 并 
且 系 统 的 攻击 者 了 解 系统 的 弱点 。 

2. 当 系 统 失败 发 生 并 带 来 安全 性 的 风险 时 ， 你 需要 寻找 导致 失败 产生 的 错误 或 者 疏忽 。 当 
故意 的 攻击 导致 系统 失败 时 ， 找 到 根本 原因 可 能 更 加 困难 ， 因 为 攻击 者 可 能 会 试图 掩盖 系统 失 
败 的 原因 。 

3. 通常 关闭 系统 或 者 降低 系统 服务 可 以 避免 安全 性 相关 的 失败 ， 这 些 做 法 是 可 以 接受 的 。 
然而 ， 对 系统 的 攻击 可 能 是 被 称 为 拒绝 服务 的 攻击 ， 目 的 就 是 要 关闭 系统 。 关 闭 了 系统 就 意味 着 
攻击 成 功 。 

4. 安全 相关 事件 不 是 由 一 个 聪明 的 对 手 制造 的 。 而 一 个 攻击 考 可 以 在 一 系列 攻击 中 试探 系 
统 的 防御 ， 在 他 更 加 了 解 系统 以 及 系统 的 反应 的 时 候 可 以 修正 攻击 的 方式 。 

这 些 区 别 意味 着 信息 安全 性 需求 成 本 一 定 要 比 安全 性 需求 成 本 高 。 安 全 性 需求 导致 产生 功 
能 性 系统 需求 ， 提 供 对 可 能 引发 系统 安全 性 相关 失败 的 事件 和 缺陷 的 保护 。 它 们 更 多 关注 检查 
问题 并 在 问题 发 生 时 采取 行动 。 相 反 地 ， 有 很 多 种 信息 安全 性 相关 的 需求 ， 覆 盖 系 统 所 面临 的 各 
种 威胁 。Firesmith (Firesmith, 2003) 找 出 了 包含 在 系统 中 的 10 类 信息 安全 需求 ; 

.身份 验证 需求 定义 系统 是 否 应 该 在 用 户 与 之 交互 之 前 辨认 其 身份 ; 
.认证 需求 定义 系统 如 何 验证 用 户 身份 ; 

， 授 权 需 求 定义 对 合法 用 户 的 权利 和 访问 许可 ; 

免疫 需求 定义 系统 如 何 保护 自己 免 受 病毒 、 蠕 虫 以 及 类 似 威胁 的 人 侵 ; 
完整 性 需求 定义 如 何 避 免 煞 据 崩溃 ; 

人 侵 保 护 需 求 定义 在 系统 中 应 该 使 用 什么 机 制 来 检测 对 系统 的 攻击 ; 
不 可 抵赖 需求 定义 参与 交易 的 一 方 不 能 对 自己 已 经 作出 的 交易 抵赖 ; 
”隐私 需求 定义 如 何 维护 数据 的 私密 性 ; 

， 信 息 安 全 的 审查 需求 定义 如 何 对 系统 的 使 用 进行 审计 和 检查 。 

10. 系统 维护 的 信息 安全 需求 定义 应 用 如 何 避 免 因 信息 安全 机 制 的 意外 失败 所 导致 的 授权 
修改 。 


— 
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© 信息 安全 风险 管理 
安全 性 是 个 法 律 问题 ， 商 业 一 定 要 生成 安全 的 系统 。 然 而 ， 信 息 安 全 的 某 些 方面 是 商业 
问题 ， 即 商业 可 以 决定 不 去 实现 某 些 信息 安全 措施 并 去 谈 掩 由 此 所 带 来 的 损失 。 风 险 管 理 是 
决断 哪些 资产 必须 得 到 保护 以 及 可 以 在 这 上 面 花费 多 少 的 过 程 。 
http://www. SoftwareEngineering-9. com/ Web/Security/ RiskMan. html 


MR REET RM PEAR AIOE. NBER HA TAA IRAE, d 
别 的 使 用 环境 ， 以 及 特定 的 用 户 。 

I2. 1 节 讨论 的 风险 分 析 和 评估 过 程 可 以 用 在 验证 系统 信息 安全 性 需求 上 。 正 如 已 经 讨论 过 
的 ， 这 个 过 程 有 3 个 步骤 : 

1 初步 的 风险 分 析 “在 这 个 阶段 ， 关 于 系统 需求 、 系 统 设计 ， 或 是 实现 技术 的 详细 内 容 上 
的 决定 还 没有 做 出 。 这 个 评估 过 程 的 目标 在 于 导出 系统 的 整体 信息 安全 性 需求 。 

2， 生 命 周 期 风险 分 析 ”这 个 风险 评估 发 生 在 设计 选择 已 经 做 出 之 后 的 系统 开发 周期 内 。 附 
加 的 信息 安全 性 需求 考虑 到 了 构建 系统 、 系 统 设计 以 及 实现 决策 中 所 使 用 的 技术 等 因素 。 

3. 运行 风险 分 析 “这 个 风险 评估 考虑 在 用 户 的 恶性 攻击 运行 的 系统 所 带 来 的 风险 ， 无 论 这 
些 用 户 是 否 有 系统 内 部 信息 。 | | 

信息 安全 性 需求 描述 中 使 用 的 风险 评估 和 过 程 分 析 是 12. 1 节 所 讲 的 一 般 的 风险 驱动 描述 过 
程 的 变种 。 一 个 风险 驱动 的 信息 安全 性 需求 过 程 在 图 12-9 中 给 出 。 看 起 来 它 可 能 与 图 12-1 中 所 
示 的 风险 驱动 过 程 不 同 ， 但 是 指出 每 个 阶段 是 如 何 对 应 一 般 过 程 中 的 某 个 阶段 的 (在 下 面 的 说 
明 中 ， 括 号 中 写 出 的 是 所 对 应 的 一 般 性 过 程 中 的 活动 )。 此 过 程 中 的 阶段 有 : 





图 12-9 从 信息 安全 需求 中 的 初步 风险 评估 过 程 ， 

1. 资产 识别 , 识别 出 可 能 需要 保护 的 系统 资产 。 系 统 自身 或 者 是 特殊 的 系统 功能 可 能 以 及 
系统 相关 的 数据 都 是 资产 (风险 识别 )。 

2. 资产 价值 评估 ， 估 计 你 所 识别 的 资产 的 价值 (风险 分 析 ) 。 

3. 暴露 评估 ,也 就 是 评估 与 每 一 份 资产 相关 联 的 潜在 损失 。 这 个 步 又 应 该 考虑 到 如 信息 失 
窃 一 类 的 直接 损失 ， 恢 复 的 花费 ， 以 及 可 能 的 名 誉 上 的 损失 ( 风险 分 析 )。 

4. 威胁 识别 ， 就 是 识别 对 系统 资产 的 每 一 项 威胁 (风险 分 析 ) 。 

5. 攻击 评估 ， 需 要 把 每 项 威胁 分 解 为 可 能 对 系统 的 各 个 攻击 ， 并 给 出 这 些 攻击 会 以 什么 方 
式 进行 。 可 以 使 用 攻击 树 (Schneier, 1999) 来 分 析 可 能 的 攻击 。 这 与 缺陷 树 相 类 似 ， 应 该 在 树 
根 的 部 分 以 一 个 威胁 开始 ， 并 识别 可 能 的 攻击 以 及 这 些 攻击 将 会 是 怎样 造成 的 〈 风 险 分 解 ) 。 

6. 控制 识别 ， 提 出 你 为 保护 资产 而 可 能 使 用 的 控制 方式 。 这 些 控制 是 一 些 技术 机 制 以 用 来 
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保护 资产 ， 比 如 加 密 (风险 降低 )。 

7. 可 行 性 评估 ， 评 估 技 术 的 可 行 性 以 及 所 提出 的 控制 的 开销 。 使 用 昂贵 开销 的 控制 来 保护 
“价值 不 高 的 资产 是 不 值得 的 (风险 降低 )。 

8. 信息 安全 性 需求 定义 ,使 用 关于 暴露 、 威 胁 和 控制 评估 的 知识 去 导出 系统 信息 安全 性 需 
求 。 它 们 可 能 是 系统 基础 结构 的 需求 或 是 应 用 系统 的 需求 (风险 降低 ) 。 

风险 评估 和 管理 过 程 的 一 个 重要 输入 是 机 构 的 信息 安全 政策 。 一 个 机 构 的 信息 安全 政策 是 
面向 所 有 系统 的 ， 并 且 规定 了 什么 是 允许 的 和 什么 是 不 能 允许 的 。 比 如 ， 军 事 信息 安全 性 政策 的 
一 个 方面 可 以 被 陈述 为 :“ 阅 读者 仅 可 以 查阅 那些 文档 等 级 与 阅读 者 的 审查 等 级 相同 或 者 低 于 阅 
读者 的 审查 等 级 的 文档 。” 这 意味 着 如 果 一 个 阅读 者 被 检查 后 设 定 级 别 为 “绝密 ”， 他 们 可 以 访 
问 标 为 “绝密 ”、“ 机 密 ” 或 者 “公开 ”的 文档 ， 但 是 不 可 以 访问 标记 为 “最 高 机 密 ” 的 文档 。 

信息 安全 政策 阐明 什么 是 信息 安全 的 系统 所 必须 维持 的 ， 并 因此 帮助 识别 可 能 产生 的 威胁 
的 那些 条 件 。 所 谓 威胁 是 指 可 以 威胁 商业 秘密 的 任何 东西 。 现 实 当 中 ， 信 息 安全 性 政策 通常 是 定 
义 什 么 是 允许 的 什么 是 不 允许 的 非 正 式 的 文档 。 然 而 ，Bishop (2005) 讨论 了 用 正规 语言 表达 信 
息 安 全 性 政策 并 生成 自动 的 检查 来 保证 政策 得 到 遵守 。 

为 说 明 这 个 信息 安全 性 风险 分 析 的 过 程 ， 考 虑 医院 里 的 心理 健康 治疗 信息 系统 MHC- PMS。 
这 里 没有 足够 的 篇 幅 系 统 地 讨论 风险 评估 ， 只 是 利用 这 个 系统 作为 例子 。 其 报告 的 片段 如 
图 12-10 和 图 12-11 所 示 。 这 个 初步 的 风险 分 析 报告 用 于 定义 信息 安全 性 需求 。 

从 医院 的 信息 系统 的 风险 分 析 报 告 中 可 以 获得 信息 安全 性 需求 。 这 些 需求 中 的 一 些 例子 是 ， 

1. 在 诊断 阶段 的 开始 ， 病 人 信息 必须 被 下 载 ， 从 数据 库 下 载 到 系统 客户 端的 一 个 安全 区 域 。 

2. 系统 客户 端 中 的 所 有 的 病人 信息 应 该 被 加 密 。 

3， 当 诊断 阶段 结束 时 ， 应 该 把 所 有 的 病人 信息 都 上 传 到 数据 库 并 删除 系统 客户 端的 备份 。 

4. 对 系统 数据 库 的 所 有 修改 以 及 这 些 修 改 的 创建 者 信息 应 该 记录 成 日 志 并 保留 在 不 同 于 数 
据 库 服务 器 的 另 一 台 计 算 机 上 。 


B. 需要 用 于 支持 所 有 诊所 咨询 。 
s 潜在 的 安全 要 求 极 高 


高 ， 需 要 用 于 支持 所 有 诊所 咨询 。 
病人 数据 库 潜在 的 安全 要 求 极 高 


通常 低 ， 尽 管 对 于 专门 的 身份 显赫 
的 病人 是 高 的 











高 。 诊 所 会 被 注销 营业 执照 。 恢 复 系统 的 成 本 。 如 
果 不 能 得 到 及 时 治疗 ， 患 者 可 能 受到 的 伤害 


高 。 诊 所 会 被 注销 营业 执照 恢复 系 统 的 成 本 。 
如 果 没 有 得 到 及 时 治疗 ， 患 者 可 能 受到 的 伤害 























低 。 但 可 能 带 来 声誉 上 的 损失 





单条 病人 记录 











Æ 12-10 MHC-PMS 初步 风险 评估 报告 中 的 资产 分 析 





未 经 授权 的 用 户 以 系统 管 T 
理 员 的 身份 获得 访问 权限 ， AHEM ewe 
并 使 得 系统 不 再 可 用 ie 


低 实 现 费 用 ， 但 必须 看 管 好 密 
钥 ， 并 且 确 保 在 紧急 时 刻 能 拿 到 
aeg 





要 求 所 有 用 户 使 用 生物 机 | ”技术 上 是 可 行 的 ， 但 是 这 是 一 
LARS ie 、 
BARRERA NEU 制 进行 身份 验证 ， 对 病人 信 | 种 很 高 代价 的 解决 方案 。 可 能 引 
p AMS ABBCER BLUR | 起 用 户 的 抵制 。 实 现 是 简单 的 透 
踪 系 统 的 使 用 明 的 ， 也 是 支持 佐 复 的 








图 12-11 在 初始 风险 的 评估 报告 中 的 威胁 和 控制 分 析 
前 两 条 需求 是 相关 的 一 一 病人 的 信息 被 下 载 到 本 地 机 器 ， 这 样 即使 病人 数据 库 服务 器 受到 
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攻击 或 者 变 得 不 可 用 ， 会 诊 也 可 以 继续 。 然 而 ， 必 须 删 除 这 些 信 息 ， 这 样 后 来 的 客户 端 电脑 
使 用 者 才 不 能 访问 这 些 数据 。 第 四 个 需求 是 一 个 恢复 和 审计 需求 。 它 意味 着 这 些 变化 可 以 通 
过 重 现 修改 日 志 被 恢复 并 且 可 能 发 现 是 谁 做 出 的 修改 。 这 个 机 制 可 以 阻止 授权 员工 对 系统 的 
误 用 。 | i 


12.5 形式 化 描述 


30 SEK, 很 多 研究 者 提出 了 使 用 形式 化 方法 来 进行 软件 开发 。 形 式 化 方法 是 基于 数学 的 
软件 开发 方法 ， 通 过 定义 软件 的 一 个 模型 ， 接 着 可 以 形式 化 地 分 析 这 些 模 型 ， 并 使 用 它 作为 一 个 
形式 化 系统 描述 的 基础 。 原 则 上 讲 ， 从 形式 化 模型 开始 构造 软件 ， 并 证 明 所 开发 的 程序 与 这 个 模 
型 是 一 致 的 ， 以 此 来 消除 由 于 程序 错误 造成 的 软件 失败 。 这 是 可 能 的 。 


Q rrenan 


形式 化 系统 描述 可 以 采用 两 种 基本 方法 表达 ， 一 是 用 系统 界面 模型 (代数 描述 )， 二 是 用 
系统 状态 模型 。 读 者 可 以 下 载 一 个 额外 的 网 上 关于 此 话题 的 一 章 内 容 ， 在 那儿 作者 给 出 了 两 
种 方法 的 例子 。 在 那 一 章 中 包含 胰岛 素 友 系统 的 一 部 分 的 形式 化 描述 。 

http://www. SoftwareEngineering-9. com/ Web/ExtraChaps/FormalSpec. pdf 







所 有 形式 化 开发 过 程 都 开始 于 形式 化 系统 模型 ， 把 它 作为 系统 的 描述 。 为 了 建立 这 个 模型 ， 
你 需要 将 自然 的 语言 、 图 和 表格 等 表述 的 用 户 需 求 翻 译 成 一 种 数学 语言 描述 的 形式 化 定义 的 语 
义 。 形 式 化 描述 是 对 系统 应 该 做 什么 的 一 个 无 二 义 的 描述 。 使 用 手工 的 或 者 借助 工具 的 方法 ， 你 
可 以 检查 程序 的 行为 是 与 描述 一 致 的 。 

形式 化 描述 对 于 设计 的 证 明和 软件 的 实现 不 仅仅 是 必 不 可 少 的 ， 它 们 还 是 定义 系统 最 精确 
的 方式 ， 所 以 减少 了 误解 的 可 能 。 另 外 ， 构 造 一 个 形式 化 的 描述 强制 需要 一 个 细致 的 需求 分 析 ， 
而 这 又 是 一 个 发 现 需 求 存在 的 问题 的 有 效 方法 。 在 一 个 自然 语言 描述 中 ， 错 误 可 能 被 不 精确 的 
语言 所 掩盖 ， 而 在 形式 化 的 描述 过 的 系统 中 不 会 出 现 这 样 的 问题 。 

形式 化 描述 总 是 作为 计划 驱动 的 软件 过 程 的 一 个 部 分 。 在 这 样 的 软件 过 程 中 系统 需求 完全 
是 在 开发 之 前 定义 好 了 的 。 系 统 需求 和 设计 经 过 了 详细 的 分 析 和 检查 ， 在 实现 环节 开始 之 前 进 
行 了 详细 定义 。 如 果 要 开发 软件 的 形式 化 描述 ， 一 般 总 是 在 系统 需求 定义 之 后 ， 系 统 详细 设计 开 
始 之 前 进行 。 在 详细 需求 描述 和 形式 化 描述 之 间 有 一 个 紧密 的 反馈 回路 。 

图 12-12 给 出 了 基于 计划 的 软件 过 程 中 的 软件 描述 各 个 阶段 以 及 它们 与 软件 设计 的 接口 。 由 
于 开发 形式 化 描述 是 很 昂贵 的 ， 所 以 你 可 以 决定 将 此 方法 局 限于 那些 对 于 系统 运行 十 分 关键 的 
部 分 组 件 的 构造 上 。 因 而 需要 我 们 在 系统 体系 结构 设计 的 时 候 识别 出 这 些 组 件 。 


逐渐 增加 的 承包 商 参 与 





逐渐 减少 的 客户 参与 





设计 
图 12-12 在 基于 计划 的 软件 过 程 中 的 形式 化 描述 
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在 过 去 的 几 年 时 间 里 ， 分 析 形 式 化 描述 的 自动 支持 已 经 得 到 很 大 发 展 。 模 型 检查 器 (Clark 
4$, 2000) 是 一 种 软件 工具 ， 它 是 将 基于 状态 的 形式 化 描述 (一 种 系统 模型 ) 以 及 某 些 形式 化 
表达 所 希望 的 性 质 作为 输入 例如,“ 不 存在 不 可 到 达 的 状态 。” 模 型 检查 程序 全 面 地 分 析 描 述 ， 
并 报告 系统 性 质 能 够 得 到 满足 ， 或 者 给 出 例子 说 明 性 质 无 法 得 到 满足 。 模 型 检查 与 静态 分 析 是 
紧密 关联 的 ， 第 15 章 将 讨论 这 些 系统 验证 的 一 般 方法 。 

开发 形式 化 描述 并 将 其 用 于 一 个 形式 化 开发 过 程 的 优势 是 : 

l. 当 你 详细 地 开发 一 个 形式 化 描述 的 时 候 ， 你 获得 了 对 系统 需求 的 深度 的 细致 的 理解 。 就 
算 你 并 不 是 将 它 用 于 形式 化 开发 过 程 ， 开 发 形式 化 描述 也 是 需求 错误 检测 的 一 个 有 说 服 力 的 理 
Hi (Hall, 1990) 。 改 正 早 期 被 发 现 的 需求 问题 通常 比 在 上 晚 一 些 的 阶段 的 开发 过 程 中 修改 它 代 价 
相对 要 小 很 多 。 

2 因为 描述 是 用 一 种 带 有 形式 定义 的 语义 的 语言 来 表达 的 ， 你 可 以 自动 地 分 析 它 来 发 现 其 
中 的 不 一 致 和 不 完整 之 处 。 

3， 如 果 你 使 用 一 个 方法 (比如 B 方 法 )， 你 可 以 使 用 一 系列 正确 性 保持 变换 将 形式 化 描述 转 
换 成 程序 。 这 样 其 结果 程序 可 以 保证 与 描述 是 一 致 的 。 

4. 程序 检测 的 花费 可 能 会 降低 ， 因 为 你 已 经 根据 描述 验证 了 程序 。 

尽管 有 这 些 长 处 ， 形 式 化 描述 还 是 在 现实 的 软件 开发 当中 受到 很 大 的 限制 ， 即 便 对 于 要 求 
极 高 的 系统 也 是 这 样 。 所 以 ， 在 开发 和 使 用 形式 化 描述 方面 积累 的 经 验 是 非常 少 的 。 反 对 开发 形 
式 化 描述 的 理由 如 下 : 

L 提出 问题 的 人 和 领域 专家 不 能 理解 形式 化 描述 ， 所 以 他 们 不 能 检查 形式 化 描述 是 否 能 表 
达 他 们 的 需求 。 软 件 工程 师 理解 形式 化 描述 ， 但 是 却 可 能 不 了 解 应 用 领域 ， 所 以 他 们 同样 不 能 确 
定形 式 化 描述 是 否 是 系统 需求 的 精确 反映 。 

2. 对 创建 一 个 形式 化 描述 的 花费 是 很 容易 量化 的 ， 但 是 评估 因 使 用 它 所 带 来 的 成 本 节余 就 
要 困难 得 多 。 结 果 ， 管 理 者 不 愿意 冒 风险 来 采用 这 个 方法 。 

3. 多数 的 软件 工程 师 没有 受过 形式 化 描述 语言 的 训练 。 这 样 ， 他 们 也 就 不 愿意 在 开发 过 程 
中 提议 用 这 个 方法 。 

4. 很 难 将 现 有 方法 扩展 到 一 个 很 大 的 系统 中 。 当 使 用 形式 化 描述 时 ， 最 通常 的 做 法 是 只 对 
要 求 极 高 的 核心 部 分 进行 形式 描述 ， 而 不 是 对 整个 系统 使 用 此 方法 。 

5 形式 化 描述 不 适用 于 敏捷 方法 开发 。 






Q 形式 化 描述 的 成 本 


开发 形式 化 描述 是 个 花费 很 大 的 过 程 ， 因 为 需要 很 多 时 间 来 将 需求 转换 成 形式 语言 ， 并 
检查 此 描述 。 经 验 表 明 ， 采 用 形式 化 描述 可 以 在 系统 测试 和 检验 方面 带 来 很 大 节省 ， 因 而 看 
来 形式 化 地 描述 系统 不 会 带 来 总 的 开发 成 本 的 上 涨 。 然 而 ， 开发 成 本 的 分 布 发 生 了 政变 ， 在 
早期 的 开发 过 程 中 占用 了 更 多 的 成 本 。 

hitp ;// www. SoftwareEngineering-9. com/Web/FormalSpecCosts/ 







尽管 如 此 ， 在 写 这 本 书 的 时 候 形式 化 描述 还 是 被 用 在 开发 一 定数 量 的 安全 和 信息 安全 要 求 
极 高 的 系统 中 。 它 们 可 能 同样 用 于 在 开发 和 验证 较 大 的 并 且 复 杂 的 软件 系统 中 那些 要 求 极 高 的 
部 件 上 ， 在 这 样 的 开发 中 形式 化 方法 是 很 划算 的 (Badeau 和 Amelot, 2005; Hall, 1996; Hall 和 
Chapman, 2002; Miller, 2005; Wprdwprth, 1996), 它们 是 要 求 极 高 系统 工程 中 静态 检验 工具 
的 基础 ， 这 样 的 静态 检验 工具 如 微软 的 驱动 检验 系统 (Ball 等，2004; Bell 4, 2006) 和 
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SPARK/Ada 语言 (Bares, 2003) o 


要 点 


n 危险 分 析 在 安全 性 描述 过 程 中 是 一 个 主要 活动 。 它 包括 识别 危险 的 状态 ， 这 些 状 态 能 引起 
系统 的 危险 。 系 统 需求 就 是 要 保证 这 些 危险 不 会 出 现 ， 如 果 危 险 一 旦 发 生 ， 保 证 不 会 造成 
事故 。 

B 一 个 危险 驱动 的 方法 可 能 用 在 理解 系统 的 安全 性 需求 上 。 你 要 找 出 潜在 的 危险 并 且 化 解 这 
些 危险 〈 使 用 例如 缺陷 树 分 析 的 方法 ) 来 发 现 它们 的 根本 原因 。 然 后 你 要 描述 这 些 需 求 
来 避免 出 现 问题 或 者 从 问题 中 恢复 。 

m 可 靠 性 需求 应 该 在 系统 需求 描述 中 量化 定义 。 可 靠 性 量度 包括 请 求 失败 的 可 能 性 (PO- 
FOD) 、 失 败 发 生 的 频率 (ROCOF) 以 及 可 用 性 (AVAIL), 

m 不 要 过 描述 系统 可 靠 性 需求 是 很 重要 的 ， 因 为 这 会 导致 开发 阶段 和 验证 过 程 中 的 额外 
花费 。 

和 信息 安全 性 需求 比 安全 性 需求 更 加 难以 识别 ， 因 为 一 个 系统 攻击 者 可 以 使 用 系统 脆弱 性 知 
识 来 计划 一 次 系统 攻击 ， 并 且 可 以 从 不 成 功 的 攻击 当中 学 到 很 多 系统 脆弱 性 知识 。 

uw 为 定义 信息 安全 性 需求 ， 应 该 找 出 要 保护 的 资产 ， 并 定义 应 该 采取 什么 样 的 信息 安全 技术 
来 保护 它们 。 

u 软件 开发 的 形式 化 方法 依赖 于 表达 为 数学 模型 形式 的 系统 描述 。 开 发 一 个 形式 化 描述 对 于 
促进 对 系统 需求 的 细致 检查 和 分 析 有 重大 好 处 。 


进一步 阅读 材料 


《Software: System Safety and Computers》， 是 一 本 针对 安全 性 要 求 极 高 的 系统 各 个 方面 展开 彻 
底 讨 论 的 书 。 它 的 长 处 在 于 对 危险 分 析 的 阐述 和 从 这 些 分 析 中 导出 需求 (N. Leveson, 1995 , Add- 
sion- Wesley) 。 

(Security Use Case》， 这 是 一 篇 很 好 的 论文 ， 可 以 在 网 上 看 到 。 主 要 研究 的 是 如 何在 信息 安 
全 描述 中 使 用 用 例 。 该 论文 的 参考 文献 中 还 列 出 了 该 文 作者 在 信息 安全 描述 方面 的 其 他 一 些 好 
文章 (D. G. Firesmith, Journal of Object Technology, 2(3) , May-June 2003) , http://www. jot. fm/is- 
sue_2003_05/colmn6/ , l 

(Ten Commandments of Formal Methods. . . Ten Years Later》 给 出 了 一 套 使 用 形式 化 方法 的 指 
南 ， 这 些 指南 于 1996 年 首次 被 推荐 并 且 再 次 在 本 书 中 出 现 。 它 是 围绕 形式 化 方法 使 用 的 实际 问 
题 的 一 个 很 好 的 总 结 (J P, Bowen and M. G. Hinchey , IEEE Computer,39 (1) , January 2006) 。 hitp:// 
dx. doi. org/10. 1109/MC. 2006. 35 , 

(Security Requirements for the Rest of Us; A Survey) 一 篇 很 好 的 信息 安全 性 需求 描述 的 初学 
者 读物 。 作 者 更 加 关注 轻 量 级 方法 而 不 是 形式 化 方法 (1 A. Tondel , M. G. Jaatun, and P. H. Meland, 
IEEE Software ,25(1) , January/February 2008) , http ;//dx. doi. org/10. 11009/MS. 2008. 19, 


练习 

12.1 解释 为 什么 在 图 9-2 所 示 的 风险 三 角形 的 边界 容易 随 着 时 间 的 推移 和 变化 了 的 社会 意识 而 
发 生 改 变 ? 

12.2 解释 为 什么 在 描述 安全 性 和 信息 安全 性 的 时 候 基于 风险 的 方法 解释 成 不 同 的 方式 。 

12.3 在 胰岛 素 注 射 系统 中 ， 用 户 需 要 定期 更 换 针头 和 胰岛 素 的 供给 ， 还 会 改变 单个 剂量 的 最 大 
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值 和 日 剂量 的 最 大 值 。 提 出 3 个 可 能 发 生 的 用 户 错误 ， 并 给 出 安全 需求 来 避免 这 些 错误 造 
成 事故 。 
12.4 一 个 治疗 癌症 患者 的 安全 性 要 求 极 高 的 软件 系统 有 两 个 主要 的 组 件 : 
m 一 个 射线 治疗 仪 ， 能 对 肿瘤 部 位 进行 辐射 治疗 ， 辐 射 剂量 能 够 控制 ， 这 个 仪器 是 由 一 个 
嵌入 式 软 件 系统 控制 的 。 
m 一 个 治疗 数据 库 ， 包 括 对 每 位 病人 的 治疗 的 详细 情况 。 治 疗 需求 被 输入 到 这 个 数据 库 
中 ， 并 自动 输出 到 辐射 治疗 仪 中 。 
识别 出 3 个 可 能 出 现在 系统 中 的 危险 。 对 每 个 危险 ， 提 出 能 减少 危险 造成 事故 可 能 性 的 防 
范 需 求 。 解 释 为 什么 你 提议 的 防范 措施 能 减少 危险 的 发 生 。 
12.5 ”为 下 列 软件 系统 提出 合适 的 可 靠 性 度量 。 为 你 的 选择 给 出 合适 的 理由 。 对 这 些 系 统 的 用 法 
给 出 预测 ， 并 给 出 这 些 可 靠 性 度量 的 合适 的 值 : 
n 医院 特 护 病房 中 监控 病人 的 系统 ; 
m 字 处 理 器 ; 
n 自动 售卖 机 控制 系统 ，; 
a CER E Bg x 
m 制冷 部 件 榨 制 系统 ; 
m 管理 报告 生成 器 。 
12.6 ”如果 火车 在 某 个 路 段 上 的 时 速 超过 了 限制 或 者 是 火车 在 进入 某 个 红 灯 亮 的 路 段 (例如 ， 
该 路 段 不 允许 驶 人 ) 的 时 候 ， 火 车 的 保护 系统 就 会 自动 工作 。 选 择 用 于 描述 这 个 系统 所 
要 求 的 可 靠 性 的 可 靠 性 量度 ， 为 你 的 答案 给 出 理由 。 
12.7 对 于 第 12.6 题 这 样 的 系统 ， 有 两 个 主要 的 安全 性 需求 : 
火车 不 能 够 怠 和 信 红 灯 亮 的 路 段 ; 
火车 速度 不 应 当 达 到 该 路 段 所 规定 的 速度 极限 。 
假设 某 路 段 的 信号 状态 和 速度 极限 在 机 车 进入 该 路 段 之 前 被 传输 到 火车 上 的 软件 中 ， 该 软 
件 将 产生 于 系统 安全 性 需求 ， 请 为 该 车 载 软件 提出 5 种 可 能 的 功能 性 系统 需求 。 
12.8 解释 为 什么 在 系统 开发 中 需要 初步 的 信息 安全 风险 评估 和 生存 周期 信息 安全 风险 评估 。 
12.9 扩展 图 12-11 中 的 表格 再 多 识别 出 两 个 MHC- PMS 的 威胁 ， 以 及 相关 的 控制 。 以 它们 为 基 
础 产生 进一步 的 信息 安全 性 需求 来 实现 所 提出 的 控制 。 
12.10 ”从事 安全 性 相关 系统 的 需求 描述 和 开发 工作 的 软件 工程 师 需 要 某 种 专业 认证 吗 ? 解释 你 
的 理由 。 
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目标 

这 一 章 的 目标 是 讨论 开发 高 可 依赖 性 系统 的 过 程 和 技术 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 

m 理解 系统 的 可 依赖 性 是 怎么 通过 使 用 宛 余 的 和 多 样 的 组 件 而 实现 的 ; 

u 知道 可 依赖 性 软件 过 程 是 怎样 支持 可 依赖 性 软件 开发 的 ; 

w 理解 可 能 使 用 的 不 同 的 系统 体系 结构 风格 来 实现 软件 的 元 余 性 和 多 样 性 ; 

u 了解 应 该 在 可 依赖 性 系统 工程 中 使 用 的 好 的 编程 实践 。 

软件 工程 技术 的 使 用 、 更 好 的 编程 语言 和 更 好 质量 的 管理 使 得 大 多 数 软 件 的 可 依赖 性 得 到 
了 显著 的 提高 。 然 而 ， 系 统 失败 可 能 依然 会 发 生 ， 从 而 影响 系统 的 可 用 性 或 者 导致 错误 的 结果 产 
生 。 在 有 些 情况 下 ,这些 失 败 仅仅 产生 很 小 的 不 便 。 系 统 拥 有 者 可 能 只 是 决定 不 修改 系统 的 错误 
而 放任 这 些 失 败 的 存在 。 然 而 在 有 些 系统 中 ,失败 可 能 导致 生命 损失 和 重大 的 经 济 或 名 誉 损失 。 
这 些 就 是 所 谓 的 “要 求 极 高 的 系统 ”， 因 为 每 一 个 高 级 别 的 可 依赖 性 都 是 必须 达到 的 。 

要 求 极 高 的 系统 的 例子 包括 : 过 程控 制 系统 ， 在 失败 事件 中 关闭 其 他 系统 的 保护 性 系统 ， 医 
疗 系统 ， 电 话 交 换 机 和 飞行 控制 系统 。 特 殊 的 软件 开发 工具 和 技术 可 能 用 在 要 求 极 高 的 系统 当 
中 来 增强 软件 的 可 依赖 性 。 这 些 工具 和 技术 通常 增加 了 系统 开发 的 花费 ,但 是 它们 降低 了 系统 
失败 的 风险 以 及 失败 可 能 造成 的 损失 。 

可 依赖 性 工程 是 关于 在 要 求 极 高 和 非 要 求 极 高 的 系统 中 所 采用 的 技术 。 这 些 技术 支持 3 个 用 
在 开发 可 依赖 性 软件 方面 的 补充 方法 : 

l. 缺陷 避免 ”在 系统 的 设计 和 实现 过 程 中 使 用 一 些 软件 开发 方法 来 减少 编程 缺陷 发 生 ， 并 
在 系统 投入 使 用 之 前 发 现 系 统 中 的 缺陷 ， 这 些 缺 陷 在 系统 执行 期 间 可 能 发 生 。 更 少 的 缺陷 意味 
着 更 少 的 运行 时 失败 的 机 会 。 

2. 缺陷 检测 ”在 部 署 使 用 之 前 设计 检验 和 有 效 性 验证 过 程 来 发 现 和 去 除 程序 中 的 缺陷 。 要 
求 极 高 的 系统 需要 非常 昂贵 的 检验 和 有 效 性 验证 ， 以 便 在 部 署 之 前 发 现 尽 可 能 多 的 缺陷 并 且 令 
系统 的 拥有 者 确信 系统 是 可 依赖 的 。 我 们 将 在 第 15 章 叙 述 这 个 内 容 。 

3. 容错 ”系统 应 该 设计 成 这 样 : 系统 的 缺陷 及 无 法 预期 的 系统 行为 在 执行 时 能 够 得 到 检测 
和 管理 ， 避 免 导 致 系统 失败 。 在 所 有 的 系统 中 都 应 该 包含 一 种 基于 内 和 髓 的 运行 时 检测 的 容错 方 
法 。 可 是 更 多 的 特殊 的 容错 技术 〈 比如 容错 系统 体系 结构 的 使 用 ) 通常 来 说 只 用 在 一 个 需要 非 
常 高 级 别 的 系统 可 用 性 和 可 依赖 性 的 时 候 。 

不 幸 的 是 ， 应 用 错误 避免 、 错 误 检测 和 容错 技术 导致 出 现 了 一 个 投入 收益 递 碱 的 状态 。 发 现 
和 清除 软件 系统 程序 中 的 残余 缺陷 的 成 本 呈 指 数 增加 ( 见 图 13-1 ) 。 当 软件 越 来 越 可 依赖 时 ， 用 
于 查找 越 来 越 少 的 缺陷 的 时 间 和 精力 将 会 越 来 越 多 。 在 某 个 时 期 ， 这 些 额外 花费 是 不 合理 的 。 

结果 ， 软 件 开发 公司 默认 他 们 的 软件 存在 一 些 残余 缺陷 。 人 允许 缺陷 的 水 平 依赖 于 系统 类 型 。 
塑封 产品 允许 相对 较 高 的 缺陷 水 平 ， 而 要 求 极 高 的 系统 通常 要 求 较 低 的 缺陷 密度 。 

可 以 接受 的 缺陷 的 基本 原则 是 ， 当 系统 失败 时 ， 失 败 后 果 造 成 的 损失 比 在 系统 发 布 之 前 发 
现 和 删除 它们 的 费用 要 少 。 但 是 ， 就 如 第 11 章 讨 论 的 ， 发 行 有 缺陷 软件 并 不 仅仅 是 一 个 经 济 问 
题 ， 同 时 还 要 考虑 系统 失败 的 社会 和 政治 的 可 接受 性 。 
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每 删除 一 个 错误 的 成 本 


多 少 非常 少 
剩余 错误 个 数 


图 13-1 ”去 除 驻 留 缺 陷 的 费用 在 不 断 攀 升 


很 多 要 求 极 高 的 系统 ， 比 如 飞行 控制 系统 、 医 药 系 统 、 会 计 系 统 等 ， 被 用 在 规范 的 领域 ， 比 
如 航空 运输 、 医 药 和 人 金融。 国家 政府 定义 这 些 行业 中 的 应 用 规范 并 且 制 定 一 个 监管 部 门 来 保证 
这 些 公司 都 遵守 这 些 规范 。 现 实 当中 ， 这 意味 着 监管 者 经 常 必 须 确信 要 求 极 高 的 软件 是 可 以 被 
信任 的 ， 而 且 这 需要 清晰 的 证 据 证 明 这 些 系 统 是 可 依赖 的 。 

因此 ， 要 求 极 高 系统 的 开发 过 程 不 仅仅 是 关于 制造 一 个 可 依赖 的 系统 的 问题 ; 它 必须 同时 
制造 出 证 据 来 让 监管 者 相信 系统 是 可 依赖 的 。 制 造 这 样 的 一 个 证 据 将 花费 掉 很 大 比例 的 开发 费 
用 ， 所 以 它 是 要 求 极 高 的 系统 很 昂贵 的 重要 原因 之 一 。 第 15 章 将 讨论 安全 性 和 可 依赖 性 用 例 的 
问题 。 


Q 阿坝 亚 娜 5 号 火箭 爆炸 


1996 年 ， 欧 洲 航 天 局 的 阿坝 亚 娜 5 号 火箭 在 其 首次 飞行 开始 37 秒 后 发 生 爆 炸 。 事 件 是 由 
于 软件 系统 失败 造成 的 。 火 箭 上 有 个 软件 备份 系统 ， 但 这 个 系统 并 不 具有 多 样 性 ， 所 以 备份 
计算 机 也 以 同样 的 方式 失败 了 。 火 箭 和 它 的 卫星 的 有 效 载荷 多 部 被 挫 希 。 
http://www. SoftwareEngineering-9. com/Web/ DependabilityEng/ Ariane/ 


13.1 元 余 性 和 多 样 性 


元 余 性 和 多 样 性 是 增强 任何 类 型 系统 的 可 依赖 性 的 基本 策略 。 宛 余 性 意味 着 系统 中 包含 多 
余 的 能 力 可 以 在 系统 失败 的 时 候 发 生 作 用 。 多 样 性 意味 着 元 余 的 系统 组 件 是 属于 不 同 种 类 的 ， 
这 样 就 会 增加 它们 不 会 以 完全 一 样 的 方式 失败 的 机 会 。 

我 们 使 用 元 余 性 和 多 样 性 来 增加 我 们 日 常生 活 中 的 可 依赖 性 。 一 个 元 余 性 的 例子 是 ， 
多 数 人 在 家 里 有 备用 的 灯泡 ， 这 样 可 以 快速 从 正在 使 用 的 灯泡 的 失败 中 人 恢复。 通常 ， 为 保 
证 我 们 的 居所 安全 我 们 通常 使 用 几 道 锁 (元 余 性 )， 并且， 通常 我 们 使 用 不 同 种 类 的 锁 
(多 样 性 ) 。 这 意味 着 如 果 一 个 侵入 者 找到 破坏 其 中 一 个 锁 的 方法 ， 他 们 还 必须 找到 不 同 的 
方法 来 破坏 其 他 的 锁 才 能 进入 。 如 日 常 工作 一 样 ， 我 们 应 该 完全 备份 我 们 的 电脑 中 的 内 容 
并 保持 我 们 的 数据 的 多 个 元 余 拷 贝 。 为 避免 磁盘 失败 的 问题 ， 备 份 应 该 在 单独 的 、 不 同 的 
外 部 设备 上 被 保存 。 

设计 用 来 增强 可 依赖 性 的 软件 系统 可 能 包括 提供 与 系统 中 的 其 他 组 件 相同 功能 的 宛 余 组 件 。 
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这 些 组 件 在 主 组 件 失 败 的 时 候 被 选择 加 入 系统 。 如 果 这 些 元 余 组 件 是 多 样 的 ( 比如， 与 其 他 组 
件 不 同 ) ， 一 个 普通 的 缺陷 不 会 引起 一 个 有 备份 组 件 的 系统 的 失败 。 宛 余 性 也 可 以 通过 包含 附加 
的 检查 代码 来 提供 ， 这 些 代码 可 能 并 不 是 直接 对 系统 功能 有 用 。 可 以 在 一 些 缺 陷 导 致 失败 之 前 
探测 到 这 些 代码 。 它 们 可 以 激发 恢复 机 制 工作 以 保证 系统 继续 运行 。 

在 可 用 性 要 求 高 的 系统 中 ， 宛 余 的 服务 常常 被 使 用 。 这 些 服务 在 指定 的 服务 失败 的 时 候 自 
动 地 运行 。 有 时 候 ， 为 保证 攻击 不 能 够 暴露 一 个 常见 的 弱点 ， 这 些 服务 可 能 属于 不 同 的 类 型 并 可 
能 在 不 同 的 操作 系统 上 运行 。 使 用 不 同 的 操作 系统 是 软件 多 样 性 和 元 余 性 的 例子 之 一 ， 并 行 的 
功能 以 不 同 的 方法 实现 。13. 3. 4 节 将 讨论 软件 多 样 性 的 更 多 细节 。 

多 样 性 和 宛 余 性 可 能 同样 用 于 获得 一 个 可 依赖 的 过 程 ， 这 是 通过 确保 过 程 活动 (比如 软件 
的 有 效 性 验证 ) 不 依赖 于 单个 过 程 或 方法 而 实现 的 。 这 增强 了 软件 的 可 依赖 性 ， 因 为 它 降低 了 
过 程 失 败 的 机 会 ， 也 就 是 由 于 在 软件 开发 过 程 中 人 的 错误 导致 的 软件 错误 。 比 如 说 ， 有 效 性 验证 
活动 可 能 将 程序 测试 、 手 工程 序 检查 以 及 静态 分 析 作为 缺陷 查找 技术 。 这 些 是 互补 的 技术 ， 因 为 
任何 一 个 技术 都 可 能 找到 其 他 技术 找 不 到 的 缺陷 。 另 外 ， 不 同 的 组 员 可 能 负责 一 些 活动 (比如 ， 
程序 检查 ) 。 人 们 用 何 种 方法 处 理工 作 取决 于 他 们 的 个 性 、 经 验 和 受 教育 程度 ， 所 以 这 种 宛 余 性 
提供 了 对 系统 不 同 的 视角 。 







Q rennarar 
本 章 讨 论 可 依赖 的 开发 和 过程， 但 是 对 于 系统 的 可 依赖 性 还 有 一 个 同样 重要 的 方面 ， 那 就 
是 系统 的 运行 过 程 。 在 设计 这 些 系统 的 操作 过 程 中 ， 你 需要 考虑 到 人 的 因素 ， 并 总 是 在 心中 
牢记 人 在 使 用 系统 时 是 非常 容易 出 错 的 。 设 计 一 个 可 依赖 的 过 程 应 该 避免 人 为 错误 ， 当 错误 
形成 时 ， 软 件 应 该 能 检测 到 此 错误 并 允许 使 用 者 去 改正 错误 。 

http://www. SoftwareEngineering-9. com/ Web/ DependabilityEng/ HumanFactors/ 






如 13. 3.4 节 介绍 的 那样 ， 获 得 软件 多 样 性 不 是 简单 的 。 多 样 性 和 元 余 性 使 得 系统 更 加 复杂 
并 且 通 常 难 以 理解 。 不 仅仅 因为 需要 编写 更 多 的 代码 并 检查 它们 ， 还 需要 有 附加 的 功能 加 入 到 
系统 中 来 以 探测 组 件 的 失败 并 切换 控制 到 候选 组 件 。 这 些 额 外 的 复杂 性 使 得 程序 员 更 容易 犯错 
误 ， 且 系统 检查 人 员 更 难以 检查 到 错误 。 

结果 是 ， 一 些 人 认为 最 好 避免 软件 宛 余 性 和 多 样 性 。 他 们 的 观点 是 设计 软件 要 设计 得 越 简 
单 越 好 ， 可 以 使 用 极为 严格 的 软件 检验 和 有 效 性 验证 过 程 (Parnas 等 ，1990) 。 更 多 的 花费 可 以 
用 在 检验 和 有 效 性 验证 上 ， 因 为 节省 了 开发 宛 余 系统 组 件 的 花费 。 

两 个 方法 都 被 用 在 商业 上 的 安全 极 高 的 系统 中 。 比 如 ， 空 客 340 飞行 控制 系统 硬件 和 软件 既 
多 样 又 元 余 (Storey，1996) 。 波 音 777 的 飞行 控制 软件 是 基于 宛 余 软件 ， 每 个 计算 机 都 运行 同样 
的 软件 ， 这 个 软件 是 得 到 极度 严格 的 验证 的 。 波 音 777 飞行 控制 系统 把 注意 力 集中 在 简单 性 而 不 
是 元 余 性 上 。 这 两 个 飞行 控制 系统 都 是 可 依赖 的 ， 所 以 多 样 性 和 简单 方法 对 于 实现 可 依赖 性 来 
说 都 很 明显 是 成 功 的 。 


13.2 可 依赖 的 过 程 


可 依赖 软件 过 程 是 被 用 来 开发 可 依赖 软件 的 软件 过 程 。 公 司 使 用 了 可 依赖 过 程 可 以 保证 这 
个 过 程 能 得 到 正确 执行 和 文档 化 ， 且 适当 的 开发 技术 用 在 了 要 求 极 高 的 系统 开发 中 。 在 可 依赖 
过 程 上 的 投资 的 道理 是 ， 一 个 好 的 软件 过 程 可 以 使 所 交付 的 软件 包含 更 少 的 错误 ， 并 因此 有 更 
少 的 执行 时 失败 。 图 13-2 显示 了 一 些 可 依赖 软件 过 程 的 属性 。 
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过 程 特点 | H 述 _| 
[ | 过程 应 该 有 一 个 定义 好 的 过 程 模型， 给 出 过 程 中 的 活动 以 及 要 在 活动 中 产生 的 各 种 
可 文档 化 文 
档 
标准 化 应 该 有 一 个 全 面 的 驳 关 软件 开发 和 文档 化 的 一 组 软件 开发 标准 
"EM 过 程 应 该 是 能 够 被 外 部 人 员 审查 的 。 外 部 人 员 会 审查 过 程 标准 是 否 得 到 遵守 并 给 出 过 
程 改善 的 若 于 意见 和 建议 


多 样 性 过 程 应 该 包括 元 余 和 多 样 性 检验 以 及 有 效 性 验证 活动 | 
过 程 应 该 能 够 从 单个 过 程 活动 的 失败 中 恢复 
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图 132 可 依赖 过 程 的 属性 


对 于 外 部 管理 者 来 说 ， 应 用 可 依赖 过 程 的 证 据 能 令 他 们 相信 在 软件 开发 中 已 经 使 用 了 最 有 
效 的 软件 工程 实践 。 系 统 开 发 人 员 也 将 定期 拿 出 一 个 过 程 模型 以 及 过 程 被 遵循 的 证 据 给 管理 者 
看 。 要 使 管理 者 相信 所 有 参与 者 都 一 致 地 使 用 这 个 过 程 ， 并 且 该 过 程 是 可 以 被 用 在 不 同 的 开发 项 
目 中 。 这 意味 着 过 程 必须 被 明确 地 定义 并 且 是 可 重 现 的 。 

L 明确 定义 的 过 程 就 是 用 已 定义 的 过 程 模型 来 驱动 软件 生产 过 程 。 在 过 程 中 必须 有 数据 收 
集 说 明 过 程 模型 中 所 有 必要 的 步 又 都 得 到 了 执行 。 

2， 可 重复 的 过 程 是 一 个 不 依赖 于 个 别 解释 和 判断 的 过 程 。 此 过 程 可 以 在 各 个 项 目 中 重复 使 用 
并 且 在 不 同 的 团队 入 员 中 使 用 ， 不 论 谁 在 开发 团队 中 。 这 对 于 要 求 极 高 的 系统 是 特别 重要 的 ， 因 为 
这 样 的 系统 通常 有 一 个 很 长 的 开发 周期 ， 并且 在 这 个 周期 中 开发 小 组 的 成 员 会 经 常 发 生变 动 。 

可 依赖 过 程 利用 宛 余 性 和 多 样 性 来 获得 可 靠 性 。 可 依赖 过 程 经 常 包含 相同 目标 的 不 同 活动 。 
比如 说 ， 程 序 审查 和 测试 的 目标 是 发 现 程序 中 的 错误 。 这 些 方法 是 相互 补充 的 ， 这 样 它们 一 起 工 
作 可 能 比 只 使 用 一 种 技术 能 发 现 更 大 比例 的 错误 。 

这 些 活 动用 在 可 依赖 性 过 程 中 显然 依赖 于 所 开发 的 软件 的 种 类 。 然 而 总 的 来 说 ， 这 些 活动 
应 该 相互 协调 以 防止 引入 新 的 错误 到 系统 中 ,并 且 探 测 并 移 除 错误 ， 保 护 过 程 本 身 的 信息 。 在 -一 
个 可 依赖 过 程 中 可 能 包括 的 活动 的 例子 有 : 









Qyssesomm 


国际 电子 技术 委员 会 针对 保护 性 系统 这 类 工程 设计 了 一 个 过 程 标 准 (IEC 61508) 。 这 是 一 
个 基于 安全 性 生命 周期 概念 的 。 它 将 安全 性 工程 和 系统 工程 明确 地 区 分 开 来 。IEC 611508 安 
全 性 生命 周期 的 第 一 阶段 定义 了 系统 的 范围 ， 评 估 潜 在 的 系统 危险 ， 估计 会 形成 的 风险 。 接 
下 来 是 对 安全 性 需求 的 描述 并 分 配 这 些 需求 到 不 同 的 子 系 统 。 其 思想 是 限制 安全 要 求 极 高 的 功 
能 的 范围 ， 以 允许 针对 要 求 极 高 的 系统 工程 的 专门 技术 能 应 用 到 安全 性 要 求 极 高 的 系统 开发 
中 来 。 








http://www. SoftwareEngineering-9. com/Web/SafetyLifeCycle/ 


1 需求 复查 以 尽 可 能 地 检查 需求 的 完备 性 和 一 致 性 。 

2 需求 管理 ， 保 证 需求 的 变更 是 受 控制 的 ， 并 且 所 有 的 受到 变更 影响 的 程序 员 都 能 够 了 解 
所 提出 的 需求 变更 的 影响 。 

3. 形式 化 描述 ， 创 建 并 且 分 析 软 件 的 数学 模型 。 在 第 12 章 讨论 了 形式 化 描述 的 益处 。 可 能 
它 最 重要 的 益处 是 它 对 系统 需求 施加 一 个 非常 详细 的 分 析 。 这 个 分 析 本 身 可 以 用 来 发 现 可 能 在 
需求 复查 阶段 被 忽略 的 需求 问题 。 

4. 系统 建 模 ， 也 就 是 用 一 组 图 形 化 的 模型 清晰 地 记录 软件 设计 ， 并 且 需 求 和 这 些 模 型 之 间 
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的 联系 也 被 清晰 地 记录 下 来 。 
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5. 设计 和 程序 审查 ， 让 不 同 的 人 分 别 检查 系统 不 同 的 描述 部 分 。 通 常 是 依据 普遍 性 的 设计 . 


和 编程 错误 清单 进行 审查 的 。 

6. 静态 分 析 ， 就 是 对 程序 的 源 代 码 进 行 自动 检查 。 查 找 那些 可 能 指示 程序 错误 或 疏忽 的 蜡 
常 。 我 们 将 在 第 15 章 讨论 静态 分 析 。 

7. 测试 规划 和 管理 ， 就 是 设计 一 系列 全 面 的 系统 测试 。 必 须 很 小 心地 管理 测试 过 程 来 证 明 
这 些 测试 已 经 覆盖 了 系统 需求 并 且 在 测试 过 程 中 得 到 正确 的 应 用 。 

如 同 聚 焦 系统 开发 和 测试 的 过 程 活动 ， 我 们 还 必须 有 完善 定义 的 质量 管理 和 变更 管理 过 程 。 
尽管 一 家 公司 的 可 依赖 性 过 程 中 的 特殊 活动 可 能 与 另 一 家 公司 不 同 ， 对 有 效 的 质量 和 变更 管理 
的 需要 是 一 致 的 。 

质量 管理 过 程 〈 将 在 第 24 章 讨论 ) 建立 了 一 系列 过 程 和 产品 标准 。 它 们 还 包括 捕捉 过 程 信 
息 的 活动 以 证 明 这 些 标准 被 遵循 了 。 比 如 说 ， 可 能 存在 一 个 标准 ， 它 被 定义 来 执行 程序 审查 。 审 
查 小 组 的 组 长 负责 记录 过 程 以 说 明 审查 标准 一 直 是 得 到 遵循 的 。 

在 第 25 章 讨论 的 变更 管理 是 关于 管理 系统 的 变更 ， 确 保 一 个 接受 的 变更 能 够 真正 实现 ， 并 
肯定 所 计划 的 发 行 版 本 中 包含 了 这 些 计 划 中 的 变更 。 一 个 通常 出 现 的 软件 问题 是 在 一 个 系统 中 
包含 了 一 个 错误 的 组 件 。 这 可 以 导致 一 种 情况 的 发 生 ， 即 一 个 执行 系统 中 包含 在 开发 过 程 中 未 
经 检查 的 组 件 。 配 置 管理 过 程 必须 定义 为 变更 管理 过 程 的 一 部 分 ， 以 保证 此 类 事件 不 会 发 生 。 

有 一 个 普遍 接受 的 观点 是 敏捷 方法 ， 正 如 在 第 3 章 所 介绍 的 ， 并 不 是 很 适合 可 依赖 性 过 程 
《Boehm，2002) 。 敏 捷 方 法 专注 于 软件 开发 而 不 关心 如 何 将 已 经 做 好 的 东西 写成 文档 。 敏 捷 方法 
经 常用 相对 非 正 式 的 方法 来 实现 变更 和 质量 管理 。 用 基于 计划 的 方法 来 开发 可 依赖 系统 时 ， 创 
建文 档 能 让 外 部 管理 者 和 其 他 外 部 信息 持 有 者 都 可 以 理解 ， 通 常 是 首选 方法 。 尽 管 如 此 ， 敏 捷 方 
法 的 益处 同样 可 以 适用 于 要 求 极 高 的 系统 中 。 有 过 在 这 个 领域 中 成 功 应 用 敏捷 方法 的 报告 
(Lindvall 等 ，2004) ， 而 且 很 可 能 将 会 开发 出 多 种 适合 要 求 极 高 的 系统 工程 的 敏捷 方法 。 


13.3 可 依赖 的 系统 体系 结构 


如 已 经 讨论 过 的 ， 可 依赖 性 系统 开发 应 该 基于 一 个 可 依赖 性 过 程 。 然 而 ， 尽 管 你 可 能 需要 一 
个 可 依赖 性 过 程 来 创建 可 依赖 系统 ， 其 本 身 并 不 足以 保证 可 依赖 性 。 你 同样 需要 为 可 依赖 性 设 
计 一 个 系统 体系 结构 ， 尤 其 是 当 需 要 容错 机 制 的 时 候 。 这 意味 着 系统 体系 结构 必须 设计 成 包含 
宛 余 组 件 和 机 制 ， 能 够 允许 控制 可 以 从 一 个 组 件 到 另 一 个 组 件 进 行 切换 。 

系统 可 能 需要 容错 系统 体系 结构 的 例子 包括 ， 飞行 器 系统 在 飞行 期 间 必须 可 操作 ， 电 信 系 
统 和 要 求 极 高 的 指控 系统 。Pullum (2001) 描述 了 人 们 提出 的 不 同 种 类 的 容错 系统 体系 结构 ， 而 
TorresPomales (2000) 综述 了 软件 容错 技术 。 

可 依赖 性 系统 体系 结构 的 最 简单 的 实现 是 带 复制 的 服务 器 (备份 服务 器 ) ， 两 个 或 多 个 服务 
器 完成 同样 的 任务 。 处 理 的 请 求 通过 一 个 服务 器 管理 组 件 被 路 由 到 --- 个 特定 的 服务 器 上 。 这 个 服 
务 器 管理 组 件 同时 还 跟踪 服务 器 响应 。 如 果 服 务 器 失败 ， 这 通常 是 通过 无 法 得 到 响应 而 被 探测 
到 ， 有 缺陷 的 服务 被 系统 剔除 出 去 。 未 处 理 的 请 求 由 其 他 服务 器 重新 接受 并 处 理 。 

这 种 带 复 制 的 服务 器 方法 广泛 使 用 在 事务 处 理 系统 中 ， 很 容易 维护 要 处 理 的 事务 处 理 的 多 
个 拷贝 。 事 务 处 理 系统 的 设计 使 得 数据 仅仅 在 事务 正确 结束 才 得 到 更 新 ， 这 样 处 理 延迟 不 会 影响 
系统 的 完整 性 。 如 果 备用 服务 器 被 用 在 低 优先 权 任务 中 ， 那 么 这 个 方法 可 能 是 使 用 硬件 的 一 个 很 
有 效 的 方法 。 如 果 主 要 的 服务 器 发 生 了 问题 ， 它 的 处 理 将 转移 到 备用 服务 器 进行 ， 该 服务 器 对 此 
任务 给 予 最 高 优先 权 。 

带 复制 的 服务 器 提供 元 余 性 ， 但 是 并 不 经 常 提供 多 样 性 。 硬 件 通常 是 同一 的 并 且 备 份 服务 
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器 运行 相同 版 本 的 软件 。 因 此 它们 可 以 应 对 集中 在 一 台 机 器 上 的 硬件 失败 和 软件 失败 。 它 们 不 
能 应 对 导致 所 有 版 本 软件 同时 失败 的 软件 设计 问题 。 为 应 对 软件 设计 的 失败 ， 一 个 系统 必须 拥 
有 多 样 的 软件 和 硬件 ， 如 13. 1 节 所 介绍 。 

软件 多 样 性 和 宛 余 性 可 以 被 实现 为 多 种 不 同 的 体系 结构 风格 ， 本 章 的 剩余 部 分 将 描述 这 些 。 


13.3.1 保护 性 系统 


保护 性 系统 是 种 与 其 他 系统 相关 联 的 专用 系统 。 它 通常 是 对 一 些 过 程 的 控制 系统 ， 比 如 
化 学 制造 过 程 或 者 一 个 设备 控制 系统 ， 无 人 驾驶 火车 系统 。 保 护 性 系统 的 例子 可 能 是 一 个 火车 
上 探测 火车 是 否 正在 通过 一 个 红色 信号灯 的 系统 。 如 果 是 ， 并 且 没有 迹象 显示 火车 控制 系统 正 
在 减速 ， 那 么 保护 性 系统 会 要 求 系统 制 动 使 其 停止 。 保 护 性 系统 独立 地 监控 它 的 环境 ， 并 且 如 果 
传感器 指示 控制 系统 没有 正确 工作 ， 那 么 保护 性 系统 被 激活 并 且 关 闭 设备 的 运行。 

图 13-3 说 明了 保护 性 系统 与 控制 系统 的 关系 。 保 护 性 系统 监控 控制 设备 和 其 环境 。 如 果 近 
测 出 来 一 个 问题 ， 它 发 出 命令 使 执行 器 关闭 系统 或 者 触发 其 他 保护 机 制 (比如 打开 一 个 压力 释 
RAN). EE: 这 里 有 两 部 传感器 。- 部 用 于 正常 的 系统 监控 ， 而 另 一 个 专门 供 保护 性 系统 使 
用 。 在 传感器 失败 时 ， 备 用 机 制 允许 保护 性 系统 继续 操作 。 系 统 中 可 能 还 要 有 宛 余 的 执行 器 。 

保护 性 系统 只 包含 要 最 紧要 的 功能 ， 就 是 把 系统 从 潜在 [ moa 一 | 
的 危险 状态 转换 到 安全 状态 ( 系统 关闭 ) 。 它 是 一 个 更 加 通 。。 = 
用 的 容错 系统 体系 结构 的 一 个 实例 ， 主 系统 由 一 个 更 小 更 简 
单 的 只 包含 关键 功能 的 备用 系统 所 支持 。 比如， 美国 航天 飞 
机 控制 软件 有 一 个 备用 系统 包含 “ 带 你 回 家 ”功能 ， 也 就 
是 ， 备 用 系统 可 以 在 主 控制 系统 失败 时 让 飞船 安全 着 陆 。 

这 种 系统 体系 结构 的 优势 是 ， 保 护 性 系统 软件 可 以 比 控 
制 被 保护 过 程 的 软件 简单 得 多 。 保 护 性 系统 的 唯一 功能 是 监 ET 
视 操作 并 确保 紧急 情况 下 系统 被 带 回 安全 状态 。 因 此 ， 我 们 ED 
就 可 以 投入 更 多 的 努力 到 容错 和 缺陷 检测 中 去 。 你 可 以 检查 sees | 
软件 是 否 被 正确 描述 并 且 是 一 致 的 ， 而 且 软 件 参照 其 描述 也 
是 正确 的 。 目 的 就 是 确保 保护 性 系统 的 可 靠 性 ， 即 在 需要 启 EDS 保护 性 系统 的 体系 结构 
动 时 其 发 生 失败 的 可 能 是 非常 小 的 (如 0.001) 。 对 保护 性 系统 的 调用 应 该 是 非常 罕见 的 ， 对 于 
请 求 失败 的 失败 率 为 1/1000， 意 味 着 保护 性 系统 失败 应 该 是 非常 稀少 的 。 


13.3.2 自 监控 系统 体系 结构 


自 监控 系统 体系 结构 是 指 这 样 的 一 个 系统 体系 结构 ， 系 统 设计 成 监视 其 自身 的 操作 并 在 问 
题 探 测 到 的 时 候 采 取 某 些 行动 。 这 是 通过 在 不 同 的 通道 计算 并 比较 计算 的 输出 来 实现 的 。 如 果 
输出 是 一 致 的 并 且 同 时 可 用 ， 那 么 可 以 假设 一 个 失败 发 生 了 。 当 其 发 生 的 时 候 ， 系 统 通常 会 在 状 
态 输出 线 上 输出 一 个 失败 异常 ， 这 会 使 控制 被 转移 到 另 一 个 系统 上 进行 ， 如 图 13-4 所 示 。 





















E 13-4 自 监控 系统 体系 结构 
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为 了 能 有 效 地 探测 硬件 和 软件 缺陷 ， 自 监控 系统 必须 被 设计 成 : 

l. 在 每 一 种 通道 上 使 用 的 硬件 是 多 样 的 。 现 实 中 ， 这 可 能 意味 着 每 一 种 通道 使 用 不 同 的 处 
理 器 类 型 来 实现 要 求 的 计算 ， 或 者 是 组 成 系统 的 芯片 集 可 能 源 自 不 同 的 生产 商 。 这 降低 了 通常 
的 处 理 器 设计 缺陷 影响 计算 的 可 能 性 。 

2. 在 不 同 的 通道 上 使 用 不 同 的 软件 。 否 则 相同 的 软件 错误 可 能 会 在 同一 时 间 在 每 一 个 通道 
上 发 生 。 我 们 将 在 13.3.4 节 讨论 获得 真正 多 样 性 软件 的 难度 。 

对 其 本 身 而 言 ， 此 体系 结构 可 以 用 于 计算 的 正确 性 非常 重要 但 可 用 性 并 不 是 至 关 重 要 的 情 
况 下 。 如 果 从 不 同 的 通道 获得 的 答案 是 不 同 的 ， 系 统 会 简单 地 关闭 。 对 于 很 多 医疗 和 诊断 系统 ， 
可 靠 性 要 比 可 用 性 更 加 重要 ， 因 为 错误 的 系统 反应 会 导致 病人 接受 错误 的 治疗 。 然 而 ， 如 果 系 统 
在 错误 事件 中 仅仅 是 关闭 了 ， 这 虽然 会 带 来 不 便 但 通常 病人 不 会 因此 而 受到 系统 的 伤害 。 

在 需要 高 可 用 性 的 情况 下 ， 你 需要 并 行使 用 几 个 自 监控 系统 。 你 需要 一 个 切换 单元 来 探测 
错误 并 在 有 两 个 通道 产生 一 个 一 致 的 结果 的 时 候 从 一 个 系统 取得 结果 。 这 样 的 方法 被 用 在 空中 
客车 340 系列 的 飞行 控制 系统 中 ， 在 这 个 系统 中 使 用 了 5 个 自 监控 计算 机 。 图 13-5 是 一 个 简化 
的 体系 结构 。 


MA 主 飞行 控制 系统 1 输出 


主 飞行 控制 系统 2 
主 飞行 控制 系统 3 


次 飞行 控制 系统 1 





图 13-5 空中 客车 飞行 控制 系统 体系 结构 


在 空中 客车 飞行 控制 系统 中 ， 每 一 个 飞行 控制 计算 机 并 行 地 计算 ， 使 用 的 是 同一 个 输入 。 输 
出 被 连接 到 一 个 硬件 的 过 滤器 上 以 检查 是 否 这 个 状态 指示 的 是 一 个 缺陷 。 如 果 是 ， 则 这 台 计 算 
机 输出 就 被 关闭 。 接 下 来 从 另 一 台 蔡 代 计算 机 输出 。 因 此 ,4 台 计算 机 都 失败 而 飞行 操作 依然 继 
续 是 可 能 的 。 在 15 年 多 的 运行 当中 ， 并 没有 报导 过 由 于 所 有 的 飞行 控制 系统 失败 而 导致 飞行 器 
失控 的 情况 。 

空中 客车 系统 的 设计 者 尝试 过 采用 多 种 方法 获得 多 样 性 ; 
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1， 主 飞行 控制 计算 机 使 用 与 次 飞行 控制 系统 不 同 的 处 理 器 。 

2. 在 主 系统 和 次 系统 的 每 一 个 通道 使 用 的 芯片 组 来 自 不 同 的 生产 商 。 

3. 次 飞行 控制 系统 中 的 软件 只 提供 最 紧要 的 功能 一 一 比 主 控制 软件 要 简单 。 

4. 主 系统 和 次 系统 的 每 一 个 通道 的 软件 使 用 不 同 的 程序 语言 来 开发 ， 并 且 使 用 不 同 的 开发 
团队 。 

5. 在 主 系统 和 次 系统 中 使 用 不 同 的 编程 语言 。 

如 稍 后 要 讨论 的 ， 这 些 都 不 能 保证 多 样 性 ， 但 是 它们 减少 了 不 同 通道 共同 失败 的 概率 。 


13.3.3 N -版 本 编程 


自 监控 系统 体系 结构 是 采用 多 版 本 编程 提供 软件 宛 余 性 和 多 样 性 的 系统 的 例子 。 这 个 多 版 
本 编程 的 概念 源 自 硬件 系统 中 的 三 重组 合 宛 余 性 〈TMR) 的 概念 。 这 个 概念 已 经 在 构建 容许 硬 
件 失 败 的 系统 中 用 了 很 多 年 CILE 13-6) 。 

在 一 个 TMR 系统 中 ， 硬 件 单元 被 复制 3 次 〈 或 者 更 多 次 ) 。 每 一 个 单元 的 输出 被 送 到 一 个 输 
出 比较 器 上 ， 这 个 比较 器 通常 实现 为 一 个 投票 系统 。 这 个 系统 比较 所 有 的 输入 ， 并 且 ， 如 果 两 个 
或 者 更 多 的 输入 是 相同 的 ， 那么 其 值 就 是 输出 。 如 果 其 中 的 一 个 单元 失败 了 ， 并 且 产 生 的 输出 与 
其 他 单元 产生 的 输出 不 一 样 ， 那么 输出 就 被 忽略 。 一 个 缺陷 管理 者 可 能 自动 尝试 修改 这 个 有 缺 
陷 的 单元 ， 但 如 果 做 不 到 的 话 ， 系 统 会 自动 地 重新 配置 使 那个 发 生 缺 陷 的 单元 退出 服务 。 系 统 会 
用 剩余 的 两 个 单元 继续 工作 下 去 。 

这 个 容错 方法 依赖 于 大 多 数 硬 件 失 败 的 原因 是 组 件 失败 造成 的 而 不 是 设计 缺陷 造成 的 。 这 
些 组 件 是 独立 地 失败 的 。 它 假设 在 正常 情况 下 ， 所 有 的 硬件 单元 都 是 按 描述 那样 去 工作 的 。 因 此 
所 有 的 硬件 单元 同时 发 生 组 件 失 败 的 可 能 性 是 相当 低 的 。 

当然 ,这 些 组 件 可 能 都 有 一 个 普遍 的 缺陷 并 且 因 此 都 产生 同样 的 (错误 ) 答案 。 使 用 一 个 
共同 描述 但 由 不 同 生产 商 设 计 和 生产 的 硬件 单元 会 降低 这 样 的 共同 模式 失败 发 生 的 几率 。 这 一 
点 所 基于 的 假设 是 不 同 的 团队 做 出 相同 的 设计 或 生产 错误 的 概率 是 很 小 的 。 

在 容错 软件 中 我 们 可 以 使 用 相似 的 方法 ， 这 就 是 N 个 不 同 版 本 的 软件 系统 并 行 执 行 (Avizie- 
nis, 1985; Avizienis, 1995) 。 这 个 实现 软件 容错 的 方法 在 图 13-7 中 说 明 ， 其 被 用 于 铁路 信号 系 
统 、 航 空 系统 ， 以 及 反应 维 保护 性 系统 。 





名 13-6 ”三重 模 块 元 余 图 13-7 -版 本 编程 


使 用 一 个 公用 的 描述 ， 同 一 个 软件 系统 由 多 个 小 组 实现 。 这 些 版 本 在 不 同 的 计算 机 上 执行 。 
使 用 一 个 投票 系统 比较 它们 的 输出 ， 不 一 致 的 输出 或 者 未 能 及 时 产生 的 输出 被 拒绝 掉 。 至 少 系 
统 的 3 个 版 本 应 该 是 可 用 的 ， 所 以 在 发 生 单个 失败 的 情况 下 两 个 版 本 应 该 是 -一致 的 。 

在 需要 高 可 用 性 的 系统 中 ， 多 版 本 编程 可 能 比 自 监控 体系 结构 要 便宜 一 些 。 然 而 它 仍 然 需 
要 多 个 不 同 的 小 组 开发 多 个 软件 版 本 。 这 导致 很 高 的 软件 开发 费用 。 结 果 ， 仅 在 无 法 为 安全 要 求 
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极 高 的 系统 构造 保护 性 系统 的 时 候 ， 才 用 到 这 个 方法 。 
13. 3.4 软件 多 样 性 


所 有 以 上 的 容错 体系 结构 都 依赖 于 软件 的 多 样 性 以 获得 容错 功能 。 这 一 点 基于 的 假设 是 ， 
对 于 描述 (对 于 保护 性 系统 来 说 , 或 者 是 一 部 分 描述 ) 的 不 同 实现 之 闻 是 相互 独立 的 。 它 们 不 
应 该 包含 同样 的 错误 ， 这 样 也 就 不 会 以 同样 的 方式 同时 失败 。 这 需要 软件 由 不 同 的 小 组 来 书写 ， 
而 这 些小 组 在 开发 过 程 中 不 应 该 交流 ， 由 此 降低 一 致 的 误解 或 对 描述 的 误 读 的 几率 。 

采购 系统 的 公司 可 能 包含 明确 的 多 样 性 政策 ， 以 期 最 大 化 系统 版 本 之 间 的 差异 。 比 如 : 

L 需求 中 明确 要 求 使 用 不 同 的 设计 方法 。 比 如 要 求 一 个 小 组 生产 一 个 面向 对 象 的 设计 而 要 
求 另 一 个 小 组 生产 一 个 面向 功能 的 设计 。 

2 规定 程序 要 由 不 同 的 编程 语言 实现 。 比 如 ,在 3 个 不 同 的 版 本 中 ，Ada、C ++ 和 Java 被 
用 来 写 不 同 的 版 本 。 

3. 要 求 对 系统 的 开发 要 使 用 不 同 的 工具 和 不 同 的 开发 环境 。 

4 明确 地 要 求 在 实现 的 某 些 部 分 用 不 同 的 算法 。 然 而 这 限制 了 设计 团队 的 自由 ， 并 可 能 因 
些 难于 与 系统 性 能 需求 吻合 。 

每 一 个 开发 小 组 应 该 依据 一 个 详细 的 系统 描述 (有 时 称 做 V-spee) 工作 ， 这 个 描述 是 从 系 
统 的 需求 描述 中 导出 的 Avizienis，1995 ) 。 这 个 描述 应 该 被 充分 地 细 化 以 保证 描述 中 没有 二 义 
性 。 在 定义 系统 的 功能 的 同时 ， 详 细 的 描述 应 该 定义 用 来 比较 的 系统 输出 应 该 在 哪里 生成 。 

理想 情况 ， 系 统 的 多 版 本 之 间 应 该 没有 依赖 性 所 以 应 该 以 不 同 的 方式 失败 。 如 果 是 这 样 ， 多 
样 的 系统 的 总 的 可 靠 性 可 以 通过 每 一 个 通道 的 可 依赖 性 相 乘 获 得 。 所 以 ， 如 果 每 一 个 通道 的 请 
求 失败 概率 是 0.001， 则 一 个 三 通道 系统 (通道 之 间 独 立 ) 总 的 POFOD 是 比 一 个 单 通 道 系统 的 
可 靠 性 高 100 万 倍 。 

然而 现实 当中 ， 获 得 完全 独立 的 通道 是 不 可 能 的 。 实 验证 明 独 立 的 设计 小 组 经 常 犯 同样 的 


错误 或 者 对 描述 有 同样 的 理解 错误 (Brilliant 等 ，1990; Knight 和 Leveson, 1986; Leveson, 


1995) 。 有 以 下 几 个 原因 : 

1. 不 同 小 组 的 成 员 经 常 来 自 同一 个 文化 背景 ， 并 可 能 在 受 教育 时 使 用 同样 的 教科 书 。 这 意 
味 着 他 们 可 能 觉得 很 难 理解 的 事情 是 类 似 的 ， 并 且 可 能 同样 觉得 与 领域 专家 交流 很 困难 。 很 可 
能 他 们 独立 犯 下 的 错误 和 设计 的 算法 都 是 一 样 的 。 

2. 如 果 需 求 是 不 正确 的 或 是 其 基础 是 对 系统 环境 的 误解 ， 那 么 这 些 错误 将 会 反映 到 每 一 个 
系统 的 实现 上 。 

3. 在 要 求 极 高 的 系统 中 ， 详 细 系统 描述 是 一 个 基于 系统 需求 的 详细 文档 ， 对 团队 提供 完整 
的 细节 ， 描 述 系统 应 该 如 何 执行 。 软 件 的 开发 者 是 没有 机 会 解释 需求 的 。 如 果 文档 当中 有 错误 ， 
这 些 错误 将 会 反映 到 所 有 的 开发 团队 并 且 在 所 有 的 系统 版 本 中 实现 。 

一 种 有 可 能 减少 共同 描述 性 错误 发 生 的 方法 是 开发 详细 的 描述 ， 即 独立 地 开发 详细 描述 ， 
并 使 用 不 同 语言 进行 描述 。 一 个 开发 团队 可 能 依据 一 个 形式 化 描述 来 开发 而 另 一 个 依据 一 个 基 
于 状态 的 系统 模型 来 开发 ， 而 第 三 个 依据 自然 语言 描述 来 开发 。 这 可 以 避免 一 些 描述 解释 的 错 
误 ， 但 无 法 逃避 描述 错误 的 问题 。 它 也 带 来 了 在 翻译 需求 的 时 候 引入 错误 的 机 会 ， 导 致 了 不 一 臻 
的 描述 。 

通过 对 实验 的 分 析 ，Hatton (1997) ， 总 结 得 出 : 一 个 三 通道 大 约 比 单 通道 系统 的 可 依赖 性 
高 5~9 倍 。 他 认为 ， 通 过 对 单个 版 本 投入 更 多 资源 以 增进 可 依赖 性 是 达 不 到 这 一 点 的 ， 所 以 多 
版 本 方法 比 单 版 本 方法 可 以 更 好 地 应 用 于 可 依赖 系统 。 . 

然而 不 能 确定 的 是 ， 通 过 多 版 本 增加 可 依赖 性 的 额外 开发 费用 是 否 值得 。 对 于 很 多 系统 来 
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说 ， 这 样 的 额外 花 销 可 能 是 不 合理 的 ， 因 为 一 个 设计 良好 的 单 通道 系统 或 许 已 经 足够 用 了 。 只 有 
在 安全 和 任务 要 求 极 高 的 系统 中 ， 由 于 失败 的 代价 是 高 昂 的 ， 才 真正 需要 多 版 本 软件 。 即 使 在 这 
样 的 情况 下 (比如 航天 系统 ) ， 提 供 一 个 有 限 的 功能 简单 的 备份 直到 主 系统 能 够 被 修复 并 且 重 
局 ， 可 能 也 是 足够 的 了 。 


13.4 可 依赖 的 编程 

总 的 来 说 ， 本 书 没有 讨论 编程 问题 ， 因 为 在 没有 涉及 编程 语言 的 具体 细节 的 情况 下 讨论 纺 
程 问 题 几 乎 是 不 可 能 的 。 现 在 有 这 么 多 的 方法 和 语言 应 用 在 软件 开发 过 程 中 ， 所 以 本 书 避 免 用 
某 一 种 语言 为 例 。 然 而 ， 当 考虑 到 可 依赖 性 工程 时 ， 有 一 套 已 经 被 接受 的 好 的 编程 实践 ， 它 们 相 
当 普 遍 而 且 可 以 减少 在 交付 的 系统 中 的 缺陷 。 

图 13-8 显示 了 一 个 好 的 实 幅 指导 准则 的 列表 。 它 们 可 以 应 用 在 任何 一 种 系统 开发 使 用 的 语 
言 中 ， 尽 管 它们 所 使 用 的 方式 取决 于 系统 开发 所 使 用 的 特定 的 语言 和 符号 系统 。 


可 依赖 的 编程 实践 指导 准则 | 
.限制 程序 中 信息 的 可 见 性 ; 

. 检查 所 有 输入 的 有 效 性 ; 

为 所 有 异常 提供 处 理 ; 

.最 小 化 使 用 易于 出 错 的 结构 ; 

提供 重启 的 能 力 ; 

.检查 数组 边界 ; 

。 当 调用 外 部 组 件 时 加 入 超时 处 理 功能 ， 
8， 为 每 一 个 代表 现实 世界 值 的 常量 命名 。 














图 13-8 好 的 可 依赖 编程 实践 指导 准则 


指导 准则 1: 限制 程序 中 信息 的 可 见 性 

在 军事 机 构 中 所 采用 的 一 个 信息 安全 原则 是 所 谓 的 “需要 知道 ”原则 。 只 有 那些 需要 了 解 某 条 
信息 以 便 执行 任务 的 人 才 给 予 此 条 信息 。 若 信息 不 与 他 们 的 工作 直接 相关 就 不 会 给 予 他 们 。 

在 程序 设计 过 程 中 ， 也 要 用 类 似 的 原则 去 控制 访问 系统 所 使 用 的 变量 和 数据 结构 。 程 序 组 
件 应 该 只 允许 访问 那些 与 自身 实现 相关 的 数据 。 其 他 程序 数据 应 该 是 不 可 接近 的 ， 对 组 件 式 隐 
藏 的 。 如 果 使 用 了 信息 隐藏 ， 隐 藏 的 信息 就 不 会 被 无 关 组 件 所 破坏 。 如 果 接 口 保持 不 变 ， 数 据 表 
示 的 改变 将 不 会 影响 到 系统 中 的 其 他 组 件 。 

可 以 通过 在 你 的 程序 中 将 数据 结构 定义 为 抽象 数据 类 型 来 做 到 这 一 点 。 抽 象 数据 类 是 一 种 
数据 形式 ， 这 种 类 型 变量 的 内 部 结构 和 表示 是 隐藏 的 。 类 型 的 结构 和 属性 从 外 部 是 不 可 见 的， 对 
数据 的 所 有 访问 要 通过 操作 实现 。 比 如 说 ， 你 可 能 用 一 个 抽象 数据 类 型 来 表示 一 个 请 求 服务 的 
队列 。 操 作 应 该 包括 get 和 put， 也 就 是 向 队列 里 加 入 项 或 者 从 队列 取出 项 ， 还 要 有 获得 队列 中 
项 数量 的 操作 。 可 以 在 最 初 将 这 个 队列 实现 为 一 个 数组 ， 但 接 下 来 又 将 其 改变 为 一 个 链表 。 这 可 
以 在 不 改变 针对 队列 的 任何 代码 的 前 提 下 实现 ， 因 为 队列 的 表示 永远 不 会 被 直接 访问 。 

还 可 以 用 抽象 数据 类 型 来 检查 赋值 是 否 在 合理 范围 之 内 。 比 如 说 ， 要 表达 化 学 反应 过 程 中 
的 温度 ， 允 许 的 温度 范围 是 在 20 ~ 200 摄氏 度 之 间 。 通 过 在 抽象 数据 类 型 中 包括 一 个 对 所 赋 的 值 
的 检查 可 以 确保 温度 值 永远 不 会 超过 要 求 的 范围 。 

在 一 些 面向 对 象 的 语言 中 ， 可 以 使 用 接口 定义 实现 抽象 数据 类 型 ， 也 就 是 声明 一 个 对 
象 的 接口 而 不 引用 对 对 象 的 实现 。 比 如 说 ， 可 以 定义 一 个 接口 Queue， 支 持 将 对 象 加 入 队 
W, 从 队列 了 到 出 对 象 ， 计算 队 列 的 大 小 等 。 在 实现 接口 的 对 象 类 中 ， 方 法 和 属性 都 应 该 是 


第 13 章 ”可 依赖 性 工程 - 


类 私有 的 。 

指导 准则 2: 检查 所 有 输入 的 有 效 性 

所 有 的 程序 都 是 从 它们 的 环境 中 获取 输入 并 处 理 它们 。 描 述 所 做 的 假设 是 这 些 输入 反映 了 
它们 在 真实 世界 中 的 使 用 。 比 如 ， 可 以 假设 一 个 银行 账户 数字 总 是 8 位 正 整数 。 可 是 在 很 多 情况 
下 ， 系 统 描述 没有 定义 在 输入 错误 的 情况 下 应 该 采取 什么 样 的 动作 。 人 们 不 可 避免 地 会 犯错 误 ， 
有 时 候 会 输入 错误 的 数据 。 有 时 候 ， 如 本 书 在 第 14 章 将 会 讨论 的 那样 ， 对 系统 的 恶意 攻击 靠 的 
就 是 错误 的 输入 。 甚 至 当 输入 是 从 传感器 或 者 其 他 系统 来 的 时 候 ， 这 些 系统 也 可 能 出 错 并 提供 
不 正确 的 值 。 

因此 ， 每 一 次 从 程序 的 操作 环境 中 输入 数据 的 时 候 都 应 该 验证 输入 的 有 效 性 。 很 明显 这 些 
检查 要 取决 于 输 和 本身， 但 以 下 这 些 可 能 的 检查 还 是 会 用 到 的 : 

1. 范围 检查 ”可 以 认为 输入 应 该 在 一 个 特定 的 范围 之 内 。 比 如 ， 一 个 代表 概率 的 输入 应 该 
在 范围 0~1.0 之 间 ， 代 表 液 态 水 温度 的 输入 应 该 在 0 ~ 100 摄氏 度 之 间 ， 等 等 。 

2.、 位 数 检查 ”输入 可 以 被 看 成 是 固定 数量 的 字符 的 形式 〈 比 如 8 位 字符 表示 的 银行 账户 ) 。 
在 其 他 情况 ， 位 数 可 能 不 确定 但 是 可 能 有 一 个 现实 的 最 大 上 限 。 比 如 说 ， 人 名 的 字符 数 应 该 不 会 
超过 40 个 字符 。 

3. 表现 检查 ”输入 应 该 是 一 个 特定 的 样式 ， 以 一 种 标准 的 方式 表示 。 比 如 说 ， 人 名 不 应 该 
包括 数字 ， 电 子 邮件 由 两 部 分 组 成 并 以 @ 符 号 分 开 ， 等 等 。 

4. 合理 性 检查 ”输入 是 一 系列 输入 中 的 一 个 ， 而 你 知道 一 些 关 于 这 个 系列 输入 之 间 的 关系 ， 
这 样 就 可 以 检查 输入 值 是 否 是 合理 的 。 比 如 说 ， 如 果 输 入 值 代表 一 个 家 庭 用 电 电表 的 读数 ， 那 么 
你 可 以 认为 用 电量 应 该 大 致 与 前 一 年 同期 用 电量 相仿 。 当 然 ， 变 化 是 会 有 的 ， 但 是 巨大 的 变化 往 
往 意 味 着 发 生 了 问题 。 

当 输 入 有 效 性 验证 检查 失败 的 时 候 你 所 要 采取 的 措施 取决 于 所 实现 系统 的 类 型 。 在 某 些 
情况 下 ， 你 要 将 问题 报告 给 用 户 并 且 要 求 重新 输入 这 个 值 。 如 果 一 个 值 来 自传 感 器 ， 你 可 能 
使 用 最 近 的 有 效 值 。 在 嵌入 式 实时 系统 ， 你 可 能 必须 根据 历史 信息 来 估计 值 ， 这 样 系统 才能 
继续 执行 。 . 

指导 准则 3; 为 所 有 的 异常 提供 处 理 

在 程序 执行 期 间 ， 错 误 或 者 难以 意料 的 事件 不 可 避免 会 发 生 。 这 些 事情 的 发 生 或 者 是 因为 
一 个 程序 缺陷 或 者 是 不 可 预料 的 外 部 环境 的 结果 。 在 程序 执行 期 间 错 误 或 不 可 预料 的 事件 被 称 
作 “ 异 常 ”。 异 常 的 例子 可 以 是 系统 电源 失败 ， 企 图 访问 不 存在 的 数据 ， 或 者 是 数值 上 溢 或 
THÉ. 

异常 可 能 是 由 硬件 也 可 能 是 由 软件 条 件 决 定 的 。 当 一 个 异常 发 生 的 时 候 ， 必 须 由 系统 来 处 
理 。 这 一 点 可 以 由 程序 本 身 完成 或 包含 一 个 对 系统 异常 处 理 的 转换 控制 机 制 。 一 般 来 说 ， 系 统 的 
异常 管理 机 制 报告 错误 并 关闭 执行 。 因 此 ， 为 保证 程序 异常 没有 引起 系统 失败 ， 应 该 为 所 有 可 能 
发 生 的 异常 定义 一 个 异常 处 理 ， 并 保证 所 有 的 异常 被 探测 出 来 并 得 到 明确 的 处 理 。 

在 像 C 语言 这 样 的 编程 语言 中 ， 必 须 用 过 语句 来 探测 异常 并 将 控制 转移 到 异常 处 理 代码 。 
这 意味 着 在 程序 中 任何 可 能 发 生 异 常 的 地 方 都 必须 明确 地 检查 异常 。 然 而 ， 这 个 方法 明显 增加 
了 异常 处 理 任务 的 复杂 性 ,增加 了 犯错 误 的 机 会 ， 并 因此 会 对 异常 误 处 理 。 

有 一 些 编程 语言 ， 比 如 Java, C++ 和 Ada， 包 合 支 持 异常 处 理 的 结构 ， 所 以 可 以 不 用 额 
外 条 件 语句 来 检查 异常 。 这 些 程序 语言 包含 一 个 特殊 的 内 置 类 型 (通常 称 为 异常 ) ， 不 同 的 异 
常 可 以 声明 为 这 种 类 型 。 当 一 种 异常 情况 发 生 时 ， 产 生 异 常 信号 而 语言 运行 时 系统 将 控制 转 
移 到 异常 处 理 器 。 这 是 一 个 声明 异常 名 字 并 对 每 个 异常 提供 相应 的 处 理 动作 的 代码 段 〈 见 
图 139)。 注 意 异常 处 理 器 是 在 正常 的 控制 流 之 外 存在 的 ， 这 个 正常 的 控制 流 不 会 在 异常 处 理 
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之 后 恢复 执行 的 。 | 
异常 处 理 通常 做 以 下 3 件 事情 中 的 一 件 或 多 件 ; RaR 

1. 向 更 高 层 组 件 发 送信 号 报告 一 个 异常 已 经 发 生 ， 并 提供 异 
常 类 型 的 信息 。 当 一 个 组 件 调用 另 一 个 组 件 的 时 候 使 用 这 个 方法 ， 
发 出 信号 的 组 件 必须 知道 被 调用 的 组 件 是 不 是 成 功 执行 了 。 如 果 没 
有 ， 要 由 调用 组 件 采取 动作 来 从 这 个 问题 中 恢复 。 

2. 实现 一 些 代 蔡 处 理 来 替换 原始 准备 的 处 理 。 这 样 ， 异 常 处 
理 器 要 采取 一 些 措施 来 从 问题 中 恢复 。 处 理 过 程 能 如 平常 一 样 继续 
或 者 异常 处 理 器 能 指示 一 个 异常 已 经 发 生 以 提醒 调用 组 件 问题 的 
存在 。 异常 处 理 代码 

3 传递 榨 制 到 能 处 理 异常 的 运行 时 支持 系统 。 当 程序 发 生 铺 y gynn 
误 的 时 候 (比如 说 当 发 生 一 个 数值 液 出 ) ， 这 经 常 是 默认 的 处 理 。 
通常 运行 时 系统 采取 的 动作 是 暂停 处 理 过 程 。 在 将 控制 转 给 运行 时 系统 之 前 ， 如 果 可 能 将 系统 
转移 至 一 个 安全 和 静止 的 状态 时 ， 这 是 唯一 应 该 使 用 的 方法 。 

在 程序 中 处 理 异常 使 得 检测 和 恢复 一 些 输入 错误 以 及 未 预料 到 的 外 部 事件 成 为 可 能 。 从 蘑 
种 意义 上 讲 ， 它 提供 了 一 种 容错 层次 程序 探测 到 错误 并 且 能 够 采取 动作 从 这 些 错误 中 恢复 。 
因为 大 多 数 的 输入 错误 和 未 预料 的 外 部 事件 通常 都 是 瞬 态 的 ， 所 以 往往 在 异常 得 以 处 理 之 后 可 
以 继续 正常 运行 。 

指导 准则 4: 最 小 化 使 用 容易 出 错 的 结构 

程序 中 有 缺陷 ， 进 而 造成 很 多 程序 失败 ， 是 源 于 人 所 犯 的 错误 。 程 序 员 因 未 能 很 好 跟踪 状态 
变量 之 间 的 很 多 关系 而 犯错 误 。 他 们 写 的 程序 语句 导致 未 预料 到 的 行为 和 系统 状态 改变 。 人 们 
总 是 会 犯错 ， 但 在 20 世纪 60 年 代 末 期 ， 人 们 逐渐 认识 到 了 有 些 缩 程 方法 比 其 他 编程 方法 更 容易 
向 程序 中 引入 错误 。 

一 些 编程 语言 的 结构 和 编程 技术 本 质 上 容易 犯错 ， 因 此 应 予以 避免 ， 或 者 至 少 尽量 少 用 。 洪 
在 的 容易 犯错 的 结构 有 

L 无 条 件 分 支 (go-to) 语句 go-to 语句 的 危险 早 在 1968 年 就 被 发 现 (Dijstra, 1968), 3X 
种 语句 因此 被 现代 编程 语言 所 弃 用 。 然 而 ， 它 们 仍然 在 像 C 语言 这 样 的 语言 中 使 用 。go-to 语句 
的 使 用 导致 “意大利 面条 代码 ”的 产生 ， 非 常 混乱 并 难以 理解 和 调试 。 

2. 浮 点 数 ” 浮 点 数 在 定 长 字 中 的 表示 具有 固有 的 不 准确 性 。 在 对 它们 做 比较 操作 时 会 出 现 
一 个 独特 的 问题 ， 因 为 表示 上 的 不 精确 可 能 造成 无 效 的 比较 。 举 例 来 说 ，3. 000 000 00 有 时 可 能 
表示 成 2. 999 999 99， 也 可 能 表示 成 3. 000 000 01。 比 较 会 得 出 两 个 不 相等 的 结论 。 定 点 数 用 确 
定 的 小 数位 数 来 表示 一 个 数 要 安全 得 多 ， 因 为 做 精确 的 比较 是 可 能 的 。 

3. 指针 编程 语言 比如 C 或 C++ 支持 称 为 指针 的 低级 结构 ， 它 保存 一 个 直接 指向 机 器 内 在 
(它们 指向 内 存 位 置 的 指针 ) 。 如 果 指针 赋值 错误 并 因此 指向 了 错误 的 内 存 区 域 ， 那 么 指针 使 用 
的 错误 可 以 是 灾难 性 的 。 对 指针 来 说 ， 做 数组 和 其 他 结构 的 边界 检查 是 难以 实现 的 。 

4. 动态 内 存 分 配 程序 内 存 可 以 是 在 程序 运行 时 分 配 的 而 不 是 编译 时 分 配 的 。 这 种 做 法 的 
危险 是 内 存 不 能 被 正确 释放 ， 因 此 ， 程 序 最 终 可 能 将 内 存 耗 光 。 这 可 能 是 一 种 非常 难以 检测 的 错 
误 类 型 ， 因 为 在 问题 发 生 之 前 ， 这 个 系统 可 以 成 功 地 运行 很 长 一 段 时 间 。 

5 并行。 当 过 程 同时 被 执行 ， 它 们 之 间 可 能 存在 菜 种 微妙 的 时 序 关系 。 时 序 问题 通常 没 法 
通过 程序 检查 搞 清 楚 ， 而 且 -- 些 容易 引起 时 序 问题 的 奇特 的 组 合 情 形 不 会 在 系统 测试 中 发 生 
并 行 昌 然 是 不 可 避免 的 ， 但 是 可 以 对 它 进行 仔细 地 控制 来 减少 过 程 间 的 依赖 性 。 

6. 递归 ”递归 是 指 这 样 的 一 种 情形 ， 一 个 程序 调用 它 本 身 或 者 调用 另外 的 一 个 程序 ， 而 这 
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个 被 调用 的 程序 又 调用 了 最 初 调用 它 的 那个 程序 ， 这 就 是 “递归 ”。 递 归 的 使 用 能 使 程序 简洁 ， 
但 是 跟踪 递归 程序 的 逻辑 是 很 困难 的 。 所 以 程序 设计 中 的 错误 是 很 难 检测 出 来 的 。 在 临时 堆栈 
变量 创建 的 时 候 ， 递 归 错 误会 导致 系统 所 有 内 存 都 分 配 完 毕 。 

7. 中 断 ” 中断 是 一 种 手段 ， 用 来 将 控制 强制 性 地 转移 到 与 目前 程序 执行 不 相关 的 一 段 代 码 
上 。 中 断 的 危险 是 显而易见 的 ， 它 会 导致 一 些 关 键 操作 被 迫 终止 。 

8. 继承 面向 对 象 程序 语言 中 继承 的 问题 是 ， 与 对 象 关 联 的 代码 并 不 总 在 一 处 ， 这 使 得 对 
对 象 行为 的 理解 更 加 困难 。 因 此 ， 程 序 设计 错误 将 更 容易 被 忽略 。 此 外 ， 当 继承 与 动态 绑 定 在 一 
起 使 用 时 可 能 造成 运行 时 的 时 序 问 题 。 同一 方法 的 不 同 实例 可 以 被 绑 定 到 一 起 调用 ， 这 取决 于 
参数 类 型 。 结 果 是 ， 寻 找 正 确 的 方法 实例 将 会 花费 不 同 的 时 间 。 

9. 别名 ”这 是 指使 用 不 同 的 名 字 来 指向 程序 中 的 同一 个 实体 ;比如 说 ， 如 果 两 个 相同 名 称 
的 指针 指向 同一 个 内 存 地 址 。 当 有 多 个 名 字 与 一 个 对 象 实体 相连 时 ， 程 序 读者 很 容易 忽略 对 实 
体 修改 的 语句 。 | 

10. 无 界 数组 ”在 一 些 语言 中 ， 如 C 中 ， 数 组 是 访问 内 存 的 简单 方法 ， 你 可 能 赋值 到 数组 的 
边界 之 外 。 运 行 时 系统 并 不 检查 赋值 真正 是 对 数组 内 元 素 的 赋值 。 数 组 越界 ， 即 在 有 攻击 者 故意 
编程 往 数组 的 那 一 段 缓冲 区 之 外 的 内 存 写 值 时 ， 就 形成 了 信息 安全 的 一 个 脆弱 性 。 

11， 软 认输 入 的 处 理 ”一 些 系 统 提供 默认 的 输入 处 理 ， 不 管 什 么 值 输入 到 系统 中 。 这 是 一 个 
信息 安全 漏洞 ， 攻 击 者 可 以 利用 它 输入 一 个 不 会 被 程序 拒绝 的 输入 。 

有 些 安全 性 要 求 极 高 的 系统 的 开发 标准 完全 禁止 这 些 结构 的 使 用 。 不 过 ， 这 种 极端 做 法 有 
时 也 是 不 实际 的 。 这 些 结构 和 技术 是 很 有 用 的 ,但 必须 小 心 使 用 。 只 要 有 可 能 ， 就 应 该 在 抽象 数 
据 类 型 或 对 象 中 使 用 ， 从 而 控制 潜在 的 危险 。 如 果 错 误 发 生 ， 抽 象 数据 类 型 和 对 象 就 担当 了 类 似 
“防火 墙 ”的 角色 ， 限 制 了 损失 的 程度 。 

指导 准则 5: 提供 重启 能 力 

很 多 机 构 信 息 系统 都 是 基于 短 事务 的 ， 处 理 用 户 的 输入 需要 较 短 的 时 间 。 这 些 系统 被 设计 
成 仅 当 所 有 的 过 程 都 成 功 完 成 之 后 才 做 出 对 系统 数据 库 的 改动 。 如 果 在 处 理 的 过 程 中 有 错误 ， 
数据 库 将 不 会 被 更 新 ， 因 此 不 会 出 现 不 一 致 的 情况 。 事 实 上， 所 有 的 电子 商务 系统 ， 只 要 是 你 在 
最 后 过 程 确认 你 的 购买 的 系统 ， 都 是 以 这 种 方式 工作 的 。 

用 户 与 电子 商务 系统 的 交互 总 是 持续 几 分 钟 时 间 并 包含 最 少 的 处 理 。 数 据 库 事务 很 短 ， 并 
且 通 常 可 以 在 少 于 一 秒 钟 之 内 完成 。 然 而 其 他 种 类 的 系统 比如 CAD 系统 和 文字 处 理 系统 的 处 理 
时 间 比 较 长 。 在 长 处 理 系 统 中 ， 开 始 使 用 系统 到 结束 任务 可 能 要 花费 几 分 钟 的 时 间 甚 至 几 小 时 。 
如 果 系 统 在 长 时 间 处 理 失败 ， 那 么 所 有 的 工作 可 能 都 会 丢失 。 相 似 地 ， 在 计算 紧密 型 系统 中 ， 比 
如 一 些 科学 计算 系统 ， 可 能 需要 几 分 钟 甚至 几 小 时 的 处 理 才 能 完成 计算 。 如 果 发 生 系统 失败 ， 那 
么 所 有 的 时 间 将 损失 掉 。 

在 所 有 这 类 系统 中 ， 应 该 提供 一 个 重启 能 力 ， 目 的 是 保持 在 处 理 过 程 中 收集 或 生成 的 数据 
的 副本 。 重 启 功能 应 该 允许 系统 使 用 这 些 副 本 重新 开始 ， 而 不 是 从 头 开始 。 这 些 副 本 有 时 被 称 为 
检查 点 。 比 如 : 

1. 在 电子 商务 系统 中 ， 可 以 保存 用 户 所 填 的 表单 并 允许 他 们 访问 和 提交 这 些 表单 而 不 用 让 
他 们 再 次 填写 。 

2. 在 长 处 理 或 计算 密集 型 系统 中 ， 可 以 每 几 分 钟 自动 保存 数据 并 且 在 系统 失败 的 时 候 可 以 
用 最 近 保 存 的 数据 重新 开始 。 同 时 ， 应 该 允许 用 户 错误 ， 提 供 一 种 用 户 能 够 返回 到 最 近 的 检查 点 
并 从 那里 重新 开始 。 

如 果 蜡 常 发 生 而 且 正常 的 操作 无 法 再 继续 下 去 ， 可 以 使 用 向 后 错误 恢复 来 处 理 异常 。 这 意 
昧 着 要 将 系统 状态 重 置 为 检查 点 处 保存 的 状态 并 从 这 个 点 重启 操作 。 
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指导 准则 6: 检查 数组 边界 

所 有 的 程序 语言 都 允许 数组 描述 ， 即 使 用 一 个 数字 索引 访问 一 个 线性 数据 结构 。 这 些 数组 
通常 设置 在 程序 的 工作 内 存 的 一 个 连续 的 区 域 。 数 组 被 描述 成 一 种 特定 的 长 度 ， 其 长 度 反映 出 
它们 是 如 何 被 使 用 的 。 比 如 说 ， 如 果 你 要 表示 不 超过 10 000 个 人 的 年 龄 ， 那 么 你 可 能 会 声明 一 
个 包含 10 000 个 存储 年 龄 数据 的 数组 。 

一 些 编程 语言 ， 比 如 Java， 在 每 次 对 数组 输入 值 的 时 候 都 做 检查 ， 检 查 索 引 是 否 在 数组 当 
中 。 所 以 如 果 一 个 数组 A 的 索引 是 从 0 到 10 000, ， 试 图 访问 元 素 A [ -5] 和 A [12345] 会 导致 
异常 的 发 生 。 然 而 编程 语言 如 C 和 C++ 不 会 自动 地 做 数组 边界 检查 的 工作 ， 而 仅仅 简单 地 计算 
一 个 从 数组 的 开始 位 置 算 起 的 偏 移 量 。 因 此 ，A [12345] 会 访问 从 数组 开始 位 置 计算 的 12345 
个 位 置 的 字 ， 不 管 这 个 字 是 不 是 数组 的 一 部 分 。 

这 些 语言 不 做 自动 数组 边界 检查 的 原因 是 这 会 在 每 次 数组 访问 的 时 候 引 人 额外 开支 。 大 部 
分 数组 访问 是 正确 的 ， 所 以 边界 检查 多 数 情况 下 是 不 必要 的 ， 并 且 会 增加 程序 的 执行 时 间 。 然 而 
缺少 边界 检查 会 导致 安全 性 的 缺乏 ， 比 如 第 14 章 将 介绍 的 缓冲 溢出 。 更 常见 的 是 ， 它 会 向 系统 
引入 脆弱 性 而 可 能 导致 系统 失败 。 如 果 你 在 使 用 一 个 没有 数组 边界 检查 的 语言 ， 你 总 是 要 增加 
额外 代码 来 保证 数组 的 索引 是 在 边界 之 内 。 如 指导 准则 1 中 所 说 的 ， 这 一 点 可 以 通过 将 数组 实现 
为 抽象 数据 类 型 轻松 达到 。 

指导 准则 7: 当 调 用 外 部 组 件 时 加 入 超时 处 理 功 能 

在 分 布 式 系统 中 ， 系 统 的 组 件 在 不 同 的 计算 机 上 执行 ， 调 用 要 在 网 络 上 从 一 个 组 件 传 送 到 
另 一 个 组 件 。 为 获得 一 些 服务 ， 组 件 A 可 以 调用 组 件 B。A 在 继续 执行 之 前 等 待 B 的 响应 。 但 是 
如 果 组 件 B. 由 于 某 些 原因 没 能 做 出 响应 ， 那 么 组 件 A 就 不 能 继续 执行 。 它 为 一 个 响应 无 限 等 待 
下 去 。 等 待 系统 响应 的 人 看 到 的 是 一 个 沉默 的 系统 失败 ， 没 有 系统 的 响应 。 没 有 别 的 办 法 只 能 结 
束 等 待 进程 并 重新 开始 系统 。 

为 了 避免 这 样 ， 调 用 外 部 组 件 的 时 候 应 该 总 是 包含 超时 机 制 。 超 时 是 自动 地 假设 一 次 组 件 
调用 已 经 失败 并 不 会 产生 响应 。 你 要 定义 期 待 从 一 个 被 调用 组 件 接 收 到 响应 的 时 间 段 。 如 果 没 
有 在 这 个 时 间 段 里 接收 到 响应 ， 可 以 认为 调用 已 经 失败 并 从 被 调用 组 件 那里 收回 调用 。 你 可 以 
接 下 来 尝试 从 失败 中 恢复 或 告诉 系统 用 户 发 生 了 什么 事情 和 人 允许 他 们 做 什么 。 

指导 准则 8: 为 每 一 个 代表 现实 世界 值 的 常量 命名 

所 有 不 是 太 简单 的 程序 都 包含 一 定数 量 的 常量 值 来 表示 真实 世界 实体 的 值 。 这 些 值 不 会 随 
着 虱 序 的 执行 而 改变 。 有 时 候 ， 它 们 是 从 不 改变 的 常量 〈 比 如 说 光 的 速度 ) ， 但 是 更 多 的 情况 下 
它们 是 随时 间 相 对 缓慢 地 改变 的 值 。 比 如 说 ， 一 个 计算 个 人 所 得 税 的 程序 将 会 包含 表示 当前 税 
率 的 常量 。 这 些 常量 将 会 年 复 一 年 地 变化 ， 所 以 程序 必须 用 新 的 常量 值 更 新 。 

你 应 该 在 你 的 程序 中 加 人 一 个 片段 用 来 命 各 所 有 你 用 到 的 现实 世界 常量 值 。 当 使 用 常量 的 
时 候 ， 你 应 该 用 名 字 来 指 代 它 们 而 不 是 用 值 。 考 虑 到 可 依赖 性 这 样 做 有 两 点 好 处 ， 

1. 可 以 少 犯 错误 或 少 使 用 错误 的 值 。 我 们 很 容易 打 错 一 个 数字 ， 系 统 往往 不 能 发 现 错误 。 
比如 税率 是 34% 。 一 个 很 简单 的 换 位 错误 可 能 导致 将 其 误 打 成 43% 。 但 是 如 果 你 错 打 了 一 个 名 
F (如 标准 税率 ) ， 编 译 器 通常 因 未 声明 该 变量 而 将 其 探测 出 来 。 

2. 当 一 个 值 改 变 的 时 候 ， 你 不 用 查找 整个 程序 来 发 现在 哪里 使 用 过 这 个 值 。 你 所 需要 做 的 
仅仅 是 改变 与 这 个 值 相关 的 常量 声明 。 新 的 值 会 自动 在 任何 需要 的 地 方 出 现 。 


要 点 


程序 的 可 依赖 性 能 通过 以 下 方式 达到 ， 即 避免 导入 缺陷 ， 在 系统 部 署 之 前 检查 并 清除 缺陷 
以 及 包括 容错 设施 ， 容 错 设施 容许 系统 在 由 于 缺陷 引发 了 失败 的 情况 下 仍然 能 继续 工作 。 
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u 软件 过 程 和 软件 系统 中 的 元 余 性 和 多 样 性 的 利用 对 可 依赖 系统 的 开发 是 必须 的 。 

w 一 个 良好 定义 的 、 可 重复 使 用 的 过 程 对 于 最 小 化 系统 缺陷 是 十 分 重要 的 。 在 从 需求 定义 到 
系统 实现 的 所 有 阶段 中 这 个 过 程 应 该 都 包括 检验 和 有 效 性 验证 活动 。 

wu 可 依赖 系统 体系 结构 是 为 容错 设计 的 系统 体系 结构 。 有 很 多 种 体系 结构 风格 支持 容错 ， 包 
括 保 护 性 系统 、 自 监控 系统 体系 结构 和 多 版 本 编程 。 

© 实现 软件 多 样 性 很 难 ， 因 为 现实 中 不 能 保证 软件 的 每 个 版 本 都 是 真正 独立 的 。 

可 依赖 编程 利用 程序 中 包含 元 余 来 检查 输入 的 有 效 性 和 程序 变量 的 值 。 

日 一些 程序 设计 结构 和 技术 ,例如 go-to 语句 、 指 针 、 递 归 、 继 承 以 及 浮 点 数 等 ， 是 天 生 易 
发 生 缺 陷 的 。 在 开发 可 依赖 的 系统 时 不 应 该 使 用 这 些 内 容 。 


进一步 阅读 材料 

(Software Fault Tolerance Techniques and Implementation) 一 个 关于 实现 容错 和 容错 体系 结构 技 
术 的 综合 性 论述 。 这 本 书 也 包括 关于 软件 的 可 依赖 性 的 一 般 问 题 (LL. Pullum, 2001, Atrech 
House) 。 . 

(Software Reliablity Engineering: A Roadmap) 这 篇 论文 是 由 一 个 软件 可 依赖 性 的 前 沿 专家 写 


的 。 概 述 了 软件 可 依赖 性 工程 的 技术 发 展现 状 并 讨论 了 研究 的 挑战 (M. R. Lyn, Proc. Future of 
Software Engineering, IEEE Computer Society ,2007) 。 http ;// dx. doi. org/10. 1109/FOSE. 2007. 24, 


练习 


13.1. 为 什么 公司 想 确保 他 们 的 软件 无 错 是 不 划算 的 ? 请 给 出 4 个 原因 。 

13.2 为 什么 认为 使 用 可 依赖 性 过 程 进行 可 依赖 软件 的 创建 是 合理 的 。 

13.3 给 出 在 可 依赖 性 过 程 中 可 能 结合 的 两 个 不 同 的 、 宛 余 的 活动 的 例子 。 

13.4 什么 是 支持 软件 容错 的 体系 结构 风格 的 共有 特性 。 

13.5 想象 你 在 实现 一 个 基于 软件 的 控制 系统 。 提 出 一 种 环境 使 其 适合 使 用 一 个 容错 结构 ， 解 释 为 什么 需 
要 这 种 方法 。 

13.6 你 负责 设计 一 个 通信 交换 机 ， 必 须 提供 24/77 的 可 用 性 ， 但 不 是 安全 性 要 求 极 高 的 。 给 出 你 答案 的 
理由 ， 并 建议 一 种 可 以 用 在 这 个 系统 的 体系 结构 风格 。 

13.7. 有 人 建议 在 治疗 癌症 的 射线 理疗 仪 的 控制 软件 开发 中 使 用 N - 版 本 程序 设计 。 你 认为 这 是 否 是 一 个 
好 的 提议 并 说 明 原因 。 

13.8 给 出 两 个 理由 说 明基 于 软件 多 样 性 的 不 同 的 系统 版 本 都 会 经 历 同样 的 失败 。 

13.9 为 什么 应 该 在 可 用 性 要 求 极 高 的 系统 中 ， 要 对 所 有 的 异常 进行 明确 处 理 。 

13.10 使 用 本 章 中 讨论 的 技术 来 开发 安全 的 软件 显然 要 增加 可 观 的 额外 成 本 。 如 果 在 系统 的 生存 期 的 15 
年 中 挽救 了 100 个 人 的 生命 ， 什 么 样 的 额外 成 本 看 来 是 可 以 接受 的 ? 如 果 只 有 10 个 生命 得 到 挽救 ， 
上 面 的 成 本 还 是 可 以 接受 的 吗 ? 人 的 收入 能 力 会 影响 成 本 分 析 吗 ? 
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目标 

本 章 的 目标 是 介绍 有 关 安 全 的 应 用 系统 设计 中 所 需要 考虑 的 诸多 问题 。 读 完 本 章 ， 你 将 了 
解 到 以 下 内 容 : 

时 了解 应 用 级 信息 安全 和 基础 设施 级 信息 安全 之 间 的 区 别 ; 

m 理解 如 何 使 用 生命 周期 的 风险 评估 和 运行 的 风险 评估 来 理解 影响 系统 设计 的 信息 安全 性 

问题 。 

m 了 解 信息 安全 软件 开发 的 软件 体系 结构 和 设计 准则 。 

m 了 解 系统 生存 力 的 概念 以 及 为 什么 对 于 复杂 软件 系统 来 说 生存 力 分 析 是 重要 的 。 

20 世纪 90 年 代 因 特 网 的 广泛 使 用 给 软件 工程 师 带 来 了 新 的 挑战 ， 即 需要 设计 和 实现 能 保证 
信息 安全 的 系统 。 随 着 越 来 越 多 的 系统 与 因特网 的 连接 ， 系 统 面临 着 各 种 各 样 的 外 部 攻击 ， 这 些 
人 为 设计 的 攻击 严重 威胁 着 系统 的 安全 。 生 产 可 依赖 系统 的 问题 在 急剧 增加 。 系 统 工程 师 不 得 
不 考虑 来 自 怀 有 亚 意 的 和 技术 能 手 这 两 类 攻击 者 的 威胁 ， 也 要 考虑 开发 过 程 中 一 些 意外 人 为 错 
误 所 导致 的 众多 问题 。 

现在 看 来 设计 能 抵御 外 部 攻击 并 在 遭受 攻击 后 成 功 恢复 的 系统 是 十 分 必要 的 。 没 有 对 安全 
的 预防 ， 网 络 上 的 系统 不 可 避免 地 受到 攻击 者 的 危害 。 攻 击 者 可 能 滥用 系统 硬件 、 盗 窃 机 密 数 据 
或 者 是 破坏 系统 所 提供 的 正常 服务 。 因 此 ， 系 统 的 信息 安全 工程 正 逐 渐变 成 系统 工程 过 程 的 一 
个 重要 方面 。 

信息 安全 工程 关系 到 系统 开发 和 进化 的 过 程 ， 这 样 的 系统 要 能 抵御 恶意 的 攻击 ， 保 护 系统 
以 及 它 的 数据 。 信 息 安 全 工程 是 计算 机 安全 的 一 个 更 为 广泛 的 领域 。 它 已 经 成 为 商业 和 个 人 的 
首要 问题 ， 因 为 越 来 越 多 的 罪犯 试图 通过 网 络 系统 从 事 犯罪 活动 。 软 件 工程 师 应 该 意识 到 系统 
所 面 对 的 信息 安全 的 严峻 局 面 ， 并 有 能 力 去 迎接 这 种 挑战 。 

本 章 的 目的 是 向 软件 工程 师 介绍 信息 安全 工程 ， 着 重 介绍 影响 应 用 级 信息 安全 的 设计 问题 。 
这 一 章 不 是 对 计算 机 信息 安全 做 全 面 的 概述 ， 所 以 不 会 涉及 密码 、 访 问 控 制 、 授 权 机 制 、 病 毒 以 
及 木马 等 话题 。 这 些 内 容 在 计算 机 信息 安全 方面 的 专门 教科 书 中 有 更 为 全 面 的 讲述 ( Anderson, 
2008; Bishop, 2005; Pfleeger 和 Pfleeger, 2007) 。 

本 章 增 加 了 其 他 章节 中 有 关 安 全 话题 的 一 些 讨论 。 读 者 可 以 与 下 面 的 关联 内 容 一 起 阅读 此 
部 分 : 

10.1 方 ,介绍 了 信息 安全 性 和 可 依赖 性 是 怎样 紧密 联系 在 一 起 的 ，; 

- 10.4 节 ， 介绍 了 信息 安全 性 术语 ，; 

加 12. 1 5, 介绍 了 风险 驱动 描述 的 概念 ; 

m 12.4 节 ， 介 绍 了 信息 安全 性 需求 描述 的 一 般 问题 ; 

m 15.3 35, 介绍 了 一 系列 信息 安全 性 测试 的 方法 。 

在 我 们 讨论 信息 安全 这 个 话题 的 时 候 ， 我们 需要 考虑 应 用 软件 (控制 系统 、 信 息 系统 等 ) 
和 支撑 此 类 系统 的 基础 设施 两 个 方面 ( 见 图 14-1)。 对 于 复杂 应 用 来 说 其 基础 设施 包括 : 

m 操作 系统 平台 ， 例 如 Linux 或 者 是 各 种 Windows 操作 系统 ; 
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w 系统 上 运行 的 其 他 的 通用 应 用 ， 如 Web 浏览 器 和 电子 邮件 客户 端 程序 ; 
u 数据 库 管 理 系统 ; 
m 支持 分 布 式 计算 和 数据 库 访问 的 中 间 件 ; 
s 用 于 应 用 软件 开发 的 可 复 用 组 件 库 。 





应 用 
可 复 用 组 件 和 库 
中 间 件 
数据 库 管理 
通用 、 共 享 的 应 用 (浏览 器 、 电 子 邮 件 等 
操作 系统 























图 14-1 存在 信息 安全 性 漏洞 的 系统 分 层 


绝 大 多 数 的 攻击 都 是 集中 在 对 系统 基础 设施 的 攻击 上 ， 这 是 因为 这 些 基础 设施 组 件 〈 例 如 
Web 浏览 器 ) 是 公开 的 和 非常 容易 得 到 的 。 攻 击 者 能 够 探测 到 这 些 系统 的 漏洞 ， 并 且 共 享 他 们 
发 现 系统 漏洞 的 信息 。 正 是 由 于 很 多 人 都 使 用 同一 种 软件 ， 攻 击 才 具有 了 广泛 的 适用 性 。 基 础 设 
施 级 的 漏洞 可 能 让 攻击 者 获得 对 应 用 系统 和 数据 的 未 授权 的 访问 。 

在 实践 中 ， 应 用 级 信息 安全 和 基础 设施 级 信息 安全 是 有 很 大 区 别 的 : 

1. 应 用 级 信息 安全 是 个 软件 工程 问题 ， 软 件 工 程 师 应 该 确保 系统 是 按照 抵御 攻击 的 要 求 去 
设计 的 。 

2. 基础 设施 级 信息 安全 是 个 管理 问题 ， 系 统管 理 者 对 基础 设施 进行 配置 以 抵御 攻击 。 系 统 
管理 者 需要 设置 基础 设施 ,使 得 绝 大 多 数 对 任何 基础 设施 的 信息 安全 特性 的 有 效 使 用 都 能 够 很 
好 地 满足 。 他 们 也 需要 修补 基础 设施 在 信息 安全 上 的 漏洞 ， 以 便 应 用 软件 不 会 受到 这 些 漏洞 的 
影响 。 

信息 安全 管理 不 是 一 个 孤立 的 任务 ， 它 包括 一 系列 活动 ， 如 用 户 和 权限 管理 ， 系 统 软件 部 署 
和 维护 以 及 攻击 监控 、 测 试 和 恢复 : 

l. 用 户 和 权限 管理 包括 向 系统 添加 和 删除 用 户 ， 保证 适当 的 用 户 认证 机 制 的 有 效 ， 设置 系 
统 的 权限 让 用 户 只 能 访问 到 他 们 应 该 访问 的 那些 资源 。 

2， 系 统 软件 部 署 和 维护 包括 系统 软件 和 中 间 件 的 安装 ， 对 这 些 系 统 的 正确 配置 保证 安全 漏 
洞 不 会 出 现 。 它 也 包括 不 断 地 用 新 版 本 或 补丁 更 新 系统 ， 及 时 修补 发 现 的 安全 问题 。 

3. 攻击 监控 、 检 测 和 恢复 包括 的 活动 有 : 对 未 授权 的 系统 访问 的 监视 、 检 测 和 及 时 有 效 的 
抵御 攻击 和 备份 活动 ， 以 保证 常规 性 的 操作 能 在 遭受 外 部 攻击 后 得 以 恢复 。 






Q) 内 部 攻击 和 社会 工程 


内 部 攻击 是 指 那些 由 可 信赖 的 个 体 〔 内 部 人 员 ) 滥用 这 种 权利 作用 于 系统 上 的 攻击 。 例 

如 ， 在 医院 里 工作 的 护士 ， 可 以 获得 自己 并 不 关心 的 但 是 属于 病人 个 人 隐私 的 医疗 记录 。 应 

对 内 部 攻击 是 有 困难 的 ， 因 为 要 使 用 附加 的 安全 技术 ， 这 样 可 能 扰乱 那些 可 靠 的 系统 用 户 。 
社会 工程 是 一 种 欺骗 那些 获得 认可 的 用 户 开放 他 们 凭证 的 方式 。 攻击 者 因此 可 以 像 一 个 

内 部 人 员 那 样 进入 系统 。 

http://www. SoftwareEngineering-9. com/Web/SecurityEng/insiders. html 







信息 安全 管理 是 至 关 重要 的 ， 但 是 通常 人 们 不 认为 是 应 用 级 信息 安全 工程 的 一 部 分 。 实 际 
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上 ， 应 用 级 信息 安全 工程 关注 于 所 设计 的 系统 在 给 定 的 预算 和 可 用 性 约束 条 件 下 尽 可 能 的 安全 。 
部 分 过 程 是 “为 管理 的 设计 ”， 我们 设计 系统 使 得 因 信 息 安全 管理 错误 导致 系统 受到 攻击 的 可 能 
性 降 到 最 小 化 。 

对 于 要 求 极 高 的 控制 系统 和 岁 人 式 系统 ， 通 常 的 做 法 是 选择 一 个 合适 的 基础 设施 来 支持 应 
用 系统 。 例 如 ， 艇 人 式 系 统 开发 者 通常 选择 一 个 实时 的 操作 系统 来 提供 给 谋 人 式 应 用 它 需 要 的 
设施 。 已 知 的 脆弱 性 和 信息 安全 需求 会 被 考虑 在 内 。 这 就 意味 着 在 信息 安全 工程 中 会 采用 整体 
的 方法 。 应 用 级 信息 安全 需求 能 够 通过 基础 设施 或 者 应 用 自身 来 实现 。 

然而 ， 机 构 中 的 应 用 系统 通常 使 用 已 存在 的 基础 设施 (操作 系统 、 数 据 库 等 ) 来 实现 。 因 
此 ， 使 用 基础 设施 和 它 的 信息 安全 特性 的 风险 必须 考虑 在 内 ， 作 为 系统 设计 过 程 的 一 部 分 。 


14.1 信息 安全 风险 管理 

对 于 有 效 的 信息 安全 工程 来 说 信息 安全 的 评估 和 管理 是 非常 必要 的 。 风 险 管 理 主要 是 评估 
系统 资产 在 攻击 中 的 可 能 损失 ， 并 在 这 些 损失 和 降低 这 些 损失 的 成 本 之 间 选 择 一 个 平衡 。 信 用 
_ 卡 公司 一 直 在 做 这 件 事 。 通 过 引 人 和 人 一 种 新 技术 来 降低 信用 卡其 诈 是 一 种 相对 比较 简单 的 方法 。 
但 是 ， 通 常 来 说 直接 补偿 用 户 由 于 欺骗 而 遭受 的 损失 要 比 购买 和 部 署 新 的 防区 骗 技 术 成 本 小 很 
多 。 在 成 本 下 降 和 攻击 增加 的 情况 下 ， 这 种 平衡 会 发 生 改变 。 例 如 ， 信 用 卡 公 司 现在 开始 用 卡 上 
芯片 来 代替 磁 条 了 。 这 样 卡 的 拷贝 就 变 得 更 加 困难 了 。 

风险 管理 与 其 说 是 技术 问题 不 如 说 是 个 管理 问题 ， 所 以 软件 工程 师 应 该 决定 哪些 控制 应 该 
包含 在 系统 内 。 高 级 管理 者 要 决定 是 接受 信息 安全 的 代价 还 是 接受 缺乏 安全 流程 的 后 果 。 相 反 ， 
软件 工程 师 的 任务 是 在 信息 安全 问题 上 提供 有 用 的 技术 指导 和 判断 。 因 此 ， 他 们 在 风险 管理 过 
程 中 是 十 分 重要 的 参与 者 。 

正如 第 12 章 中 所 提 到 的 ， 对 风险 评估 和 管理 过 程 来 说 ， 关 键 是 机 构 的 信息 安全 策略 。 机 构 
的 信息 安全 策略 是 要 贯彻 到 所 有 的 系统 中 的 ， 并 应 该 明确 什么 是 应 该 做 的 什么 是 不 允许 发 生 的 。 
信息 安全 策略 要 给 出 关于 环境 的 说 明 ， 此 环境 是 信息 安全 系统 要 一 直 维护 的 环境 ， 以 帮助 判断 
可 能 出 现 的 威胁 。 因 此 ， 信 息 安全 策略 明确 了 哪些 是 被 允许 的 ， 哪 些 是 不 允许 的 。 在 信息 安全 工 
程 过 程 中 ， 我 们 设计 机 制 来 实现 这 种 策略 。 

风险 评估 要 在 做 出 系统 决策 之 前 开始 ， 并 应 该 贯穿 整个 系统 开发 过 程 和 系统 投入 使 用 之 后 
(Alberts 和 Dorofee, ，2002) 。 在 第 12 章 中 同样 有 介绍 ， 风 险 评估 是 一 个 阶段 性 的 过 程 ， 

1. 初步 风险 评估 ”在 此 阶段 ， 尚 未 对 具体 的 系统 需求 、 系 统 设计 或 实现 技术 做 出 决定 。 此 
评估 过 程 的 目的 是 判定 是 否 一 个 适当 的 信息 安全 等 级 能 在 合理 的 成 本 范围 内 达到 。 如 果 可 以 ， 
我 们 就 能 够 导出 要 实现 的 系统 的 特殊 的 信息 安全 需求 。 我 们 没有 系统 潜在 漏洞 的 有 关 知 识 ， 也 
没有 可 复 用 系统 组 件 或 中 间 件 的 控制 方面 的 知识 。 

2， 生 存 期 风险 评估 此 风险 评估 发 生 在 系统 开发 整个 过 程 中 ， 可 以 借助 系统 设计 和 实现 的 
技术 决策 信息 进行 。 评 估 的 结果 可 能 会 改变 信息 安全 性 的 需求 和 附加 新 的 需求 。 识 别 出 已 知 和 
潜在 的 漏洞 ， 并 用 于 系统 如 何 实现 、 测 试 和 部 署 的 决策 。 

3. 运行 风险 评估 在 系统 部 署 和 投入 使 用 之 后 ， 风 险 评估 应 该 继续 注意 系统 是 怎样 使 用 的 
以 及 新 的 或 是 变更 的 需求 的 请 求 。 当 系统 定义 时 对 系统 运行 需求 做 出 的 假设 可 能 是 不 正确 的 。 
机 构 的 改变 可 能 意味 着 系统 在 以 不 同 于 原 计 划 的 方式 使 用 。 因 此 ， 运 行 风险 评估 会 产生 新 的 信 
息 安 全 需求 ， 这 些 需 求 必须 在 系统 进化 升级 时 被 实现 。 

初步 风险 评估 的 目标 是 导出 整个 系统 的 信息 安全 需求 。 在 第 12 章 中 ， 会 讲 到 一 系列 初始 
的 信息 安全 需求 怎样 从 一 个 初步 风险 评估 中 导出 。 本 节 将 主要 集中 讲 生存 期 风险 评估 和 运行 
风险 评估 ， 由 此 来 说 明 系统 描述 和 设计 是 怎样 受到 系统 所 采用 的 技术 的 影响 和 系统 使 用 方式 
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的 影响 。 

进行 风险 性 评估 ， 我 们 需要 明确 对 系统 有 可 能 产生 的 威胁 。 一 种 方法 是 ， 开 发 一 个 “ 误 用 
案例 ” 集 (Alexander, 2003; Sindre 和 Opdahl, 2005). 。 前 面 已 经 讨论 过 用 例 (和 系统 的 典型 交 
互 ) 在 导出 系统 需求 时 是 如 何 使 用 的 。 误 用 案例 是 表现 与 系统 进行 恶意 交互 的 脚本 。 我 们 可 以 
使 用 这 些 用 例 来 讨论 和 明确 可 能 的 威胁 ， 因 此 也 就 能 够 确定 系统 的 信息 安全 需求 。 当 要 导出 系 
统 需求 时 ， 这 些 案例 同样 可 以 和 用 例 结合 在 一 起 使 用 。 

Pfleeger 和 Pfleeger (2007) 描述 了 4 个 方面 的 威胁 ， 在 识别 可 能 的 误 用 案例 时 ， 可 以 作为 出 
发 点 。 这 4 方面 如 下 : l 

1 拦截 威胁 ， 该 威胁 允许 攻击 者 获得 对 某 些 资 产 的 访问 。 因 此 ， 对 于 MHC-PMS 一 个 可 能 的 
误 用 案例 可 能 是 攻击 者 获得 了 某 个 名 人 的 就 诊 记 录 。 

2. 中 断 威胁 ， 该 威胁 允许 攻击 者 使 得 系统 的 部 分 不 可 用 。 所 以 ， 一 个 可 能 的 误 用 案例 可 能 
是 一 次 对 于 系统 数据 库 服务 器 的 拒绝 服务 攻击 。 

3. 修改 威 肋 ， 该 威胁 允许 攻击 者 算 改 系统 资产 。 在 MHC-PHS 中 ， 这 可 能 就 是 一 个 攻击 者 更 
改 病人 记录 信息 的 误 用 案例 。 

4. 伪造 威胁 , 该 威胁 允许 攻击 者 向 一 个 系统 中 插入 错误 信息 。 这 在 MHC-PMS 中 可 能 算 不 上 
是 一 个 严重 的 威胁 ,但 是 对 于 银行 系统 来 说 绝对 是 个 威胁 ,将 钱 转 人 犯罪 者 的 账户 这 样 的 虚假 
交易 可 能 被 加 入 系统 。 

误 用 案例 不 仅仅 在 初步 风险 中 有 用 ， 在 生存 期 风险 分 析 和 运行 风险 分 析 的 信息 安全 分 析 中 
也 会 被 使 用 到 。 这 些 用 例 对 于 针对 系统 的 所 有 的 假设 攻击 和 对 于 所 做 出 的 设计 决定 的 信息 安全 
影响 的 评估 提供 了 有 用 的 根据 。 


14.1.1 生存 期 风险 评估 


基于 机 构 的 信息 安全 策略 ， 初 步 风险 评估 应 当 明 确 系统 最 重要 的 信息 安全 需求 。 这 些 需 求 
反映 了 信息 安全 性 策略 应 当 怎样 在 应 用 中 实现 ， 明 确 被 保护 的 资产 ， 以 及 决定 使 用 什么 样 的 方 
式 提供 保护 。 但 是 ， 维 护 信息 安全 是 要 关注 细节 的 。 要 求 初始 的 信息 安全 需求 考虑 到 所 有 可 能 影 
响 安全 的 细节 是 不 太 可 能 的 。 

生存 期 风险 评估 明确 影响 信息 安全 的 设计 和 实现 的 细节 ， 这 是 生存 期 风险 评估 和 初步 风险 
评估 之 间 的 重要 区 别 。 生 存 期 风险 评估 影响 对 已 存在 的 信息 安全 需求 的 解释 ， 产 生 新 的 需求 ， 并 
且 影 响 系统 的 整个 设计 。 

在 这 个 阶段 评估 风险 时 ， 我 们 会 有 更 多 关于 需要 保护 哪些 部 分 的 详细 信息 ， 我 们 也 会 
摸 清 系统 中 漏洞 的 有 关 情 况 。 其 中 有 些 漏洞 对 于 设计 选择 决断 来 说 总 是 固有 的 。 例 如 ， 对 
于 基于 口令 的 系统 来 说 其 漏洞 是 授权 用 户 会 将 口令 泄漏 给 未 经 授权 的 用 户 。 或 者 ， 如 果 一 
个 机 构 有 一 个 用 C 语言 开发 软件 的 策略 ， 我 们 会 知道 应 用 可 能 存在 缺陷 ， 因 为 这 种 语言 并 
不 包含 数组 边界 检查 。 

信息 安全 的 风险 评估 应 该 是 系统 的 从 需求 工程 到 系统 部 署 全 生存 期 活动 中 的 一 部 分 。 其 过 
程 类 似 于 初步 风险 评估 过 程 ， 只 是 增加 有 关 漏洞 识别 和 评估 活动 。 风 险 评估 的 成 果 是 一 系列 工 
程 决断 ， 它 们 影响 系统 设计 或 实现 或 者 是 限制 其 使 用 范围 和 方式 。 

图 14-2 表示 了 一 个 生存 期 风险 分 析 过 程 的 模型 ， 它 基于 在 图 12-9 中 描述 的 初步 风险 分 析 过 
程 。 最 重要 的 区 别 是 ， 现 在 我 们 拥有 了 关于 信息 表示 和 分 布 ， 以 及 高 级 别 的 受 保护 资产 的 数据 库 
组 织 方面 的 信息 。 我 们 同样 知道 了 像 软 件 复 用 、 基 础 设施 控制 和 保护 等 这 些 重 要 的 设计 决策 。 基 
于 这 些 信息 ， 我 们 的 分 析 明 确 了 信息 安全 性 需求 和 对 重要 系统 资产 提供 附加 保护 的 系统 设计 所 
要 做 出 的 变动 。 
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图 14-2 生命 期 风险 分 析 


两 个 例子 说 明了 保护 需求 是 怎样 受到 信息 表示 和 分 布 决策 影响 的 ; 

1. 我 们 可 能 会 做 出 一 个 设计 决策 来 将 私人 患者 信息 和 其 接受 治疗 的 信息 分 离开 ， 通 过 一 个 
BE (key) 链接 这 些 记 录 。 治 疗 信息 远 不 如 患者 个 人 信息 敏感 ， 所 以 不 需要 大 量 保护 。 如 果 键 
值 被 保护 ， 那 么 攻击 者 就 只 能 获得 常规 信息 ， 而 不 能 链接 到 患者 个 人 信息 。 

2. 假设 ,在 本 节 开 始 ， 设 计 决 策 是 将 患者 记录 拷贝 到 本 地 客户 端 系统 。 在 服务 器 出 现 故 障 
时 也 将 允许 工作 继续 进行 。 这 让 卫生 保健 的 工作 者 ， 即 使 在 没有 网 络 连接 的 情况 下 也 能 够 从 笔 
记 本 电脑 中 获取 患者 记录 。 但 是 ,我 们 现在 有 了 两 套 要 保护 的 记录 和 客户 端 副 本 ， 它 们 容易 面临 
额外 的 风险 ， 比 如 ， 盗 取 笔记 本 电脑 。 因 此 ， 我 们 必须 思考 什么 样 的 控制 应 该 用 来 降低 风险 。 例 
如 ， 笔 记 本 电脑 上 的 客户 端 记录 应 该 被 加 密 。 

为 了 说 明 开发 技术 上 的 决定 如 何 影响 信息 安全 性 ， 让 我 们 假设 医疗 部 门 已 经 决定 了 用 商业 
现货 信息 系统 建立 一 个 MHC-PMS (他 们 自己 的 心理 疾病 病人 信息 管理 系统 ) 来 保存 病人 的 记 
录 。 此 系统 需要 为 使 用 它 的 每 一 类 诊所 做 不 同 的 配置 。 此 决定 已 经 做 出 ， 因 为 它 会 给 绝 大 多 数 普 
遍 使 用 的 功能 带 来 最 低 的 开发 成 本 和 最 快 的 开发 时 间 。 

当 你 基于 某 个 现存 系统 建立 应 用 ， 就 必须 接受 系统 原 开发 者 的 设计 决策 。 让 我 们 假设 下 列 
设计 决策 ; 

l. 系统 用 户 是 通过 登录 用 户 名 /口令 组 合 被 鉴别 (认证 ) 的 。 没 有 其 他 鉴别 方法 可 以 使 用 。 

2. 系统 的 体系 结构 是 客户 机 - 服务 器 ， 客 户 通过 客户 端 个 人 计算 机 上 标准 的 Web 浏览 器 访 
问 数据 。 

3. 信息 以 可 编辑 Web 表格 形式 展现 在 用 户 面前 。 他 们 可 以 适当 地 改变 信息 并 上 传 给 服务 器 。 

对 于 一 个 通用 系统 ， 这 些 设计 决定 是 完全 可 以 接受 的 ， 但 是 生存 期 风险 分 析 表 明 它 们 都 有 
相关 的 脆弱 性 。 一 些 可 能 的 脆弱 性 的 例子 如 图 14-3 所 示 。 

漏洞 一 旦 被 发 现 ， 我 们 就 必须 决定 采取 哪些 措施 来 降低 相应 的 风险 。 这 一 般 包括 是 否 添加 
额外 的 系统 安全 需求 或 者 是 其 他 的 系统 使 用 的 操作 过 程 。 这 里 无 法 讨论 所 有 的 有 关 固 有 漏洞 的 
需求 ， 下 面 列 出 其 中 一 些 需 求 : 

1. 口令 检查 程序 应 该 是 可 用 的 且 应 该 每 天 运行 。 登 记 在 系统 字典 中 的 用 户口 令 会 被 识别 并 
报告 给 系统 管理 员 。 

2. 对 系统 的 访问 只 能 是 在 由 系统 管理 员 所 认可 和 注册 了 的 客户 计算 机 上 进行 。 

3， 所 有 的 客户 计算 机 都 只 能 安装 一 个 由 系统 管理 员 所 认可 的 Web 浏览 器 。 

在 使 用 商业 现货 系统 时 ， 系 统 自身 不 可 能 包含 一 个 口令 检查 程序 ， 所 以 必须 使 用 一 个 独立 
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的 系统 。 口 令 检查 程序 在 用 户 密码 被 设 定时 分 析 其 强度 ， 如 果 用 户 选 择 了 一 个 强度 很 弱 的 密码 ， 
那么 它 会 通知 用 户 。 因 此 ， 易 受 攻击 的 口令 能 被 很 快 发 现 并 采取 措施 让 用 户 更 改 其 口令 。 


技术 选择 脆弱 性 
[| asmenea | 
|| Bees | 


浏览 器 安全 漏洞 带 
来 未 经 授权 的 访问 f 


使 用 可 编辑 L 
的 Web 样 式 E 


图 14-3 与 技术 选择 相关 的 脆弱 性 





第 二 个 和 第 三 个 需求 意味 着 用 户 将 总 是 从 同一 个 浏览 器 上 访问 系统 。 我 们 可 以 在 系统 部 署 
的 时 候 认 定 哪个 浏览 器 是 最 安全 的 ， 并 且 安 装 它 到 所 有 客户 端的 电脑 。 信 息 安 全 更 新 得 到 简化 ， 
因为 没有 必要 在 发 现 和 修补 信息 安全 漏洞 的 时 候 更 新 不 同 的 浏览 器 。 


14.1.2 运行 风险 评估 


信息 安全 风险 评估 应 该 贯穿 系统 的 全 生命 周期 ， 来 识别 出 现 的 风险 和 可 能 需要 应 对 这 些 风 
险 的 系统 变更 。 这 个 过 程 叫做 运行 风险 评估 。 因 为 系统 需求 的 改变 ， 系 统 基础 设施 的 改变 ， 或 是 
系统 使 用 环境 的 改变 ， 新 风险 可 能 出 现 。 

运行 风险 评估 过 程 和 生命 期 风险 评估 过 程 类 似 , 但 是 有 更 多 的 关于 系统 运行 环境 的 信息 。 
因为 环境 的 特性 能 够 导致 系统 产生 新 风险 ， 所 以 环境 很 重要 。 例 如 ， 假 设 系统 的 用 户 会 在 使 用 时 
频繁 遭 到 打 断 。 一 个 风险 就 是 这 种 打 断 意味 着 用 户 离开 电脑 ， 使 其 在 无 人 管理 的 状态 。 对 于 一 个 
未 经 授权 的 人 来 说 ， 这 样 就 可 能 获得 系统 中 的 信息 。 这 可 能 会 产生 一 个 口令 保护 屏保 的 需求 ， 口 
令 屏 保 在 短期 的 不 活动 状态 之 后 启动 。 


14.2 面向 信息 安全 的 设计 

一 般 来 说 ， 在 一 个 系统 已 经 实现 后 ， 要 想 将 信息 安全 性 再 加 入 系统 是 很 困难 的 。 因 此 ， 我 们 
需要 在 系统 设计 过 程 中 就 将 信息 安全 问题 考虑 在 内 。 在 这 一 部 分 中 ， 主 要 关注 系统 设计 问题 ， 因 
为 其 他 的 信息 安全 书籍 中 都 没有 对 这 个 话题 给 予 应 有 的 重视 。 实 现 问 题 和 人 为 错误 会 对 信息 安 
全 产生 重要 影响 ， 但 是 这 些 通常 与 所 使 用 的 特殊 技术 有 关 。 推 荐 Viega 和 McGraw 的 书 (2002) , 
这 是 一 本 信息 安全 编程 的 导论 。 

本 节 集 中 讨论 如 下 几 个 一 般 性 的 且 应 用 独立 的 安全 系统 设计 问题 

L 体系 结构 设计 ， 体 系 结构 设计 决策 是 如 何 影 响 系 统 信息 安全 的 ? 

2. 好 的 实践 ， 什 么 是 在 设计 安全 系统 时 的 公认 的 好 的 实践 ? 

3. 部署 的 设计 ， 在 系统 使 用 前 的 部 署 时 ， 为 避免 导 人 漏洞 应 该 为 系统 设计 什么 样 的 支持 ? 
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Q) sansat 
EERI ARRAK EARE (bombarding) 一 个 网 络 系统 ， 以 此 来 造成 
这 个 网 络 系统 的 竣 首 。 这 社 的 系统 负 蔡 ， 因 为 没有 在 设计 之 初 考虑 ， 所 以 它们 会 排除 合法 的 
系统 请 求 。 因 此 ， 系 统 会 因为 过 重 的 负荷 而 前 演 ， 或 者 系统 管理 员 将 其 脱 机 以 停止 大 量 请 求 
的 涌 入 ， 这 样 都 会 导致 系统 变 得 不 可 用 。 

http://www. SoftwareEngineering-9. com/ Web/ Security/ DoS. html 


当然 ， 这 些 还 不 是 仅 有 的 对 信息 安全 重要 的 设计 问题 。 每 一 个 应 用 都 是 不 同 的 ， 信 息 安全 设 
计 也 必须 考虑 到 应 用 的 用 途 、 临 界 状态 和 操作 环境 。 例 如 ， 如 果 开 发 一 个 军事 系统 ， 我 们 需要 采 
用 他 们 的 信息 安全 分 类 模型 〈 秘 密 、 机 密 、 绝 密 等 ) 。 如 果 要 设计 一 个 存储 个 人 信息 的 系统 ,我 
们 要 考虑 到 数据 保护 法 案 ， 该 法 案 是 对 信息 如 何 管理 施加 的 限制 。 

在 可 靠 性 和 信息 安全 之 间 有 紧密 的 联系 。 宛 余 性 和 多 样 性 的 使 用 ， 对 于 达到 可 靠 性 是 很 重 
要 的 ， 意 味 着 系统 能 够 抵抗 那些 瞄准 专门 设计 和 实现 特性 的 攻击 并 从 中 恢复 。 支 持 高 级 别 可 用 
性 的 机 制 可 以 帮助 系统 从 所 谓 的 拒绝 服务 攻击 中 恢复 过 来 ， 这 些 攻击 中 攻击 者 的 目标 是 使 系统 
陷入 竣 疾 并 让 它 停止 正常 工作 。 

设计 一 个 系统 要 保证 其 安全 ,不 可 避免 地 要 有 所 取舍 。 为 系统 设计 融入 多 种 信息 安全 方案 
是 完全 有 可 能 的 ， 这 样 会 降低 攻击 成 功 的 可 能 性 。 然 而 ， 信 息 安全 方案 通常 要 求 大 量 的 额外 计算 
并 且 影 响 系统 的 整体 性 能 。 例 如 ， 我 们 可 以 通过 加 密 机 密 信息 来 降低 其 被 随便 打开 的 可 能 性 ， 但 
是 ， 这 就 意味 着 信息 的 用 户 也 必须 等 待 信息 解码 ， 这 可 能 会 减缓 他 们 的 工作 。 

信息 安全 和 系统 可 用 性 之 间 也 有 制约 关系 。 信 息 安 全 方案 有 时 要 求 用 户 记 住 并 提供 附加 信 
县 《例如 ， 大 量 的 密码 ) 。 但 是 ， 有 时 用 户 会 忘记 这 些 信息 ， 所 以 附加 的 信息 安全 意味 着 他 们 不 
能 方便 地 使 用 系统 。 因 此 设计 者 必须 在 信息 安全 、 系 统 性 能 和 可 用 性 之 间 找 到 一 个 平衡 点 。 这 将 
取决 于 系统 的 类 型 和 它 会 被 使 用 在 什么 地 方 。 例 如 ,在 一 个 军事 系统 中 ， 用 户 会 对 高 级 别 信息 安 
全 系统 很 熟悉 ， 因 此 愿意 接受 并 按 着 要 求 的 频繁 检查 的 流程 进行 。 但 是 ， 在 一 个 股票 交易 系统 
中 ， 信 息 安 全 检查 操作 的 中 断 将 会 是 完全 不 可 接受 的 。 


14.2.1 体系 结构 设计 


”如 第 11 章 中 所 讨论 的 ， 体 系 结构 的 选择 对 系统 特性 有 深刻 的 影响 。 如 果 使 用 不 恰当 的 体系 
结构 ， 维 护 系 统 信息 的 信息 安全 性 和 完整 性 或 是 保证 系统 有 一 定 的 实用 性 就 是 不 可 行 的 了 。 

在 设计 能 维护 信息 安全 性 的 系统 体系 结构 时 ， 我 们 需要 考虑 两 个 基本 问题 ， 

L 保护 。 如 何 组 织 系 统 使 其 关键 资产 能 在 外 部 攻击 时 得 到 保护 ? 

2. 分 布 。 如 何 对 系统 资产 进行 分 布 使 得 进 的 攻击 数 减 到 最 小 ? 

这 些 间 题 总 是 存在 冲突 的 。 如 果 你 将 所 有 的 资产 放 在 一 个 地 方 ， 那 么 就 可 以 在 其 上 建立 多 
层 保护 。 因 为 只 要 建立 一 个 保护 系统 ， 我 们 就 能 够 为 一 个 强大 的 系统 提供 多 层 保护 。 然 而 ， 如 果 
保护 失败 ， 那 所 有 的 资产 可 就 要 受到 危害 了 。 增 加 若干 个 保护 层 也 会 影响 系统 的 可 用 性 ， 所 以 这 
就 意味 着 要 达到 系统 可 用 性 和 性 能 的 要 求 就 更 加 困难 。 

男 一 方面 ， 如 果 你 将 资产 分 开 存放 ， 保 护 的 成 本 就 会 更 高 ， 因 为 保护 系统 在 每 个 备份 中 都 要 
被 实现 。 我 们 往往 没有 办 法 负担 起 这 么 多 保护 层 的 开支 。 保 护 伞 被 突破 的 几率 也 会 大 很 多 。 但 
是 ， 如 果真 的 发 生 攻 击 ， 却 不 至 于 损失 歼 尽 。 将 信息 资产 备份 和 分 开 是 有 可 能 的 ， 如 果 一 个 备份 
锌 毁坏 或 是 不 可 存 取 ， 那 么 其 他 的 备份 还 可 以 使 用 。 但 是 ， 如 果 信息 是 保密 的 ， 保 留 额外 的 副本 
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会 增加 入 侵 者 获得 这 个 信息 的 风险 。 

对 于 上 患者 记录 系统 而 言 ， 使 用 集中 式 数据 库 系统 是 合适 的 。 为 了 对 系统 提供 保护 ， 我 们 一 般 
需要 使 用 分 层 的 体系 结构 ， 使 关键 性 的 受 保护 资产 位 于 系统 的 最 底层 ， 并 在 其 上 设置 各 种 不 同 
的 保护 。 图 14-4 是 有 关 病 人 记录 系统 的 说 明 ， 被 保护 的 关键 性 资产 是 每 个 病人 的 记录 。 


平台 层 保护 





病人 记录 | 





图 14-4 分 层 保护 的 体系 结构 


为 了 访问 和 修改 病人 的 记录 ， 攻 击 者 需要 穿越 3 个 系统 层 : 

1. 平台 层 保 护 ”最 顶层 控制 对 病人 记录 系统 所 在 的 平台 的 访问 。 这 通常 涉及 用 户 到 某 个 特 
别 计算 机 的 注册 。 平 台 也 一 般 包 括 对 系统 上 文件 完整 性 维护 的 支持 、 备 份 等 。 

2. 应 用 层 保护 下 一 个 保护 层 是 建立 在 应 用 本 身上 的 。 它 包括 用 户 对 应 用 的 访问 ， 用 户 身 
份 认证 以 及 对 执行 像 浏览 或 修改 数据 等 动作 的 许可 。 应 用 专门 的 完整 性 管理 支持 是 可 利用 的 。 

3. 记录 层 保护 ” 当 和 需要 访问 特殊 记录 且 在 此 记录 上 执行 所 请 求 的 操作 时 ， 对 用 户 的 授权 检 
查 调用 这 一 级 。 此 层 的 保护 也 可 能 包括 加 密 来 确保 记录 不 会 被 文件 浏览 器 所 浏览 。 完 整 性 检查 ， 
例如 使 用 密码 校 验 和 ， 能 检测 出 在 正常 记录 更 新 机 制 之 外 产生 的 改变 。 

对 任何 一 个 应 用 来 说 ， 保 护 层 的 数量 依赖 于 数据 的 危险 程度 。 不 是 所 有 的 应 用 都 需要 记录 
级 的 保护 ， 因 此 ， 通 常 使 用 更 大 粒度 的 访问 控制 。 为 达到 安全 性 ， 我 们 不 能 在 每 一 层 上 使 用 相同 
的 用 户 许可 。 理 论 上 ， 如 果 是 一 个 基于 口令 的 系统 ， 那 么 应 用 口令 应 该 不 同 于 系统 口令 也 不 同 于 
记录 级 口令 。 但 是 ， 大 量 的 口令 对 于 用 户 记忆 来 说 是 困难 的 ， 并 且 他 们 会 被 重复 的 认证 请 求 所 激 
怒 。 因 此 ， 我 们 经 常 不 得 不 考虑 系统 可 用 性 而 在 信息 安全 上 有 所 取 含 。 

如 果 对 数据 的 保护 是 一 个 关键 性 需求 ， 那 么 应 该 使 用 在 服务 器 端 包含 有 保护 机 制 的 客户 - 服务 
器 体系 结构 。 然 而 ， 如 果 保护 失败 ， 则 攻击 所 带 来 的 损失 可 能 很 高 ， 恢 复 的 成 本 也 将 很 高 〈 例 
如 ， 所 有 用 户 的 许可 都 需要 重新 颁发 ) 。 系 统 在 拒绝 服务 攻击 方面 是 脆弱 的 ， 拒 绝 服务 攻击 加 重 
了 服务 器 的 负荷 ， 使 之 不 能 让 任何 用 户 访问 到 系统 数据 库 。 

如 果 认 为 拒绝 服务 攻击 是 主要 风险 的 话 ， 我 们 可 以 决定 让 应 用 采用 分 布 式 对 象 体系 结构 。 
在 此 情形 下 ， 如 图 14-5 所 示 ， 系 统 资产 被 分 布 到 多 个 不 同 的 平台 上 ， 每 个 平台 有 自己 不 同 的 保 
护 机 制 。 对 某 个 节点 的 攻击 可 能 造成 某 些 资产 是 不 可 用 的 ， 但 是 还 会 有 别 的 系统 服务 仍然 保持 
可 用 。 数 据 可 以 在 系统 的 不 同 节点 中 复制 ， 这 样 从 攻击 中 恢复 就 简单 了 。 

图 14-5 给 出 的 是 在 纽约 、 伦 敦 、 法 兰 克 福 以 及 香港 市 场 上 使 用 的 银行 股票 和 基金 交易 系统 
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的 体系 结构 。 它 是 一 个 分 布 式 结构 ， 每 个 市 场 的 数据 都 是 单独 维护 的 。 用 于 支持 要 求 极 高 的 股票 
交易 〈 用 户 账目 和 价格 ) 的 关键 活动 所 需 的 资产 已 经 复制 到 各 个 节点 上 。 如 果 系 统 某 个 节点 受 
到 攻击 变 得 不 可 用 时 ， 紧 要 的 股票 交易 活动 能 够 转移 到 另 一 个 国家 或 地 区 ， 这 样 对 用 户 来 说 就 
是 仍然 可 用 的 。 
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图 14-5 在 证 券 交易 系统 中 分 布 的 资产 


前 面 已 经 讨论 过 在 信息 安全 和 系统 性 能 之 间 寻 找平 衡 点 的 问题 。 很 多 时 候 ， 信 息 安全 系统 
设计 的 一 个 问题 是 ， 能 提供 安全 保障 的 最 合适 的 体系 结构 可 能 不 能 达到 最 好 的 性 能 要 求 。 例 如 ， 
假设 有 一 个 应 用 其 根本 需求 是 维护 某 个 大 型 数据 库 的 机 密 性 ， 对 它 的 另 一 个 需求 是 对 数据 能 快 
速 访问 。 高 级 别 保护 建议 多 个 保护 层 是 需要 的 ， 这 就 意味 着 系统 的 层次 之 间 必 须 有 通信 。 这 就 不 
可 避免 地 产生 性 能 开销 ， 从 而 降低 数据 访问 的 速度 。 如 果 采 用 另外 的 体系 结构 类 型 ， 那 么 实现 保 
护 和 保证 机 密 性 会 更 加 困难 和 需要 更 高 的 代价 。 在 此 情况 下 ， 你 必须 与 系统 客户 讨论 内 在 的 冲 
突 ， 在 如 何 解 决 问题 的 方案 上 达成 一 致意 见 。 


14. 2.2 设计 准则 


并 不 存在 一 个 如 何 达 到 系统 安全 性 的 硬性 规定 。 不 同类 型 的 系统 需要 不 同 的 技术 措施 来 达 
到 系统 拥有 者 所 能 接受 的 安全 等 级 。 不 同 用 户 组 的 态度 和 需求 对 什么 是 可 以 接受 的 以 及 什么 是 
不 能 接受 的 有 深 深 的 影响 。 例 如 ， 对 于 银行 来 说 ， 用 户 可 能 接受 较 高 等 级 的 安全 性 ， 因 此 比 高 校 
系统 有 更 多 的 安全 性 程序 。 

然而 ,还 是 有 一 些 一 般 性 准则 ， 广 泛 适用 于 系统 信息 安全 性 的 方案 设计 ， 它 们 概括 了 信息 安 
全 系统 的 一 些 好 的 设计 实践 。 信 息 安 全 性 的 一 般 性 设计 准则 ， 例 如 所 讨论 过 的 ， 在 这 里 有 两 个 主 
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BUSES 

它们 提高 软件 工程 团队 对 信息 安全 问题 的 重视 。 软 件 工 程 师 通 常 只 关注 近期 目标 ， 如 怎 
天 这 软件 能 用 和 能 尽 训 交付 给 客户， 信息 安全 问题 很 容易 被 忽视 掉 。 这 些 准 则 能 使 信息 安全 问 
题 在 软件 设计 决策 制定 之 时 就 得 到 考虑 。 

2. 它们 能 够 在 系统 有 效 性 验证 过 程 中 的 复查 清单 中 得 到 使 用 。 从 这 里 讨论 的 高 层 准 则 ， 我 
们 可 以 导出 更 多 探讨 如 何 将 信息 安全 设计 到 系统 中 去 的 详细 问题 。 

10 个 准则 总 结 在 图 14-6 中 ， 这 些 准则 有 着 不 同 的 出 处 (Schneier, 2000; Viega 和 MeGraw, 
2002; Wheeler，2003) 。 这 里 只 讨论 对 软件 描述 和 设计 过 程 特别 有 用 的 准则 ， 更 一 般 性 的 原则 ， 
例如 “保护 系统 中 最 脆弱 的 链接 ”、“ 保 持 简 单 ” 和 “避免 模糊 ”等 都 是 重要 的 ， 但 是 它们 并 不 
直接 与 工程 设计 决策 发 生 关 系 。 





安全 准则 

将 信息 安全 决策 建立 在 明确 的 信息 安全 策略 之 上 
， 避免 单 点 失败 
.可 恢复 性 失败 
， 寻求 信息 安全 和 可 用 性 间 的 均衡 
记录 用 户 行为 
通过 元 余 性 和 多 样 性 降低 风险 
， 验 证 所 有 的 输入 
.划分 资产 
.部署 设计 
10. 可 恢复 性 设计 

图 14-6 安全 系统 工程 的 设计 准则 


准则 1: 将 信息 安全 决策 建立 在 明确 的 信息 安全 策略 之 上 

信息 安全 策略 是 一 个 高 层 陈 述 ， 它 给 出 了 机 构 的 基本 信息 安全 条 件 。 它 要 定义 信息 安全 
“是 什么 ”而 不 是 “如 何 达到 ”。 此 策略 不 应 该 规定 提供 和 执行 信息 安全 的 机 制 。 一 般 来 讲 ， 信 
息 安 全 策略 的 各 个 方面 都 应 该 反映 在 系统 需求 当中 。 在 实践 中 ,尤其 是 使 用 快速 应 用 开发 过 程 
的 时 候 ， 做 到 这 一 点 是 不 太 现实 的 。 因 些 ， 设计 者 就 应 该 探讨 信息 安全 问题 ， 因为 它 给 出 了 制定 
和 评估 设计 决策 的 框架 。 

假如 你 在 为 本 章 前 面 提 到 过 的 MHC-PMS (心理 健康 护理 信息 系统 ) 设计 访问 控制 系统 。 医 
院 的 信息 安全 策略 是 只 (有 认可 的 临床 工作 人 员 可 以 修改 病人 的 电子 记录 。 因 此 你 的 系统 必须 包 
括 检 验 每 一 个 试图 修改 信息 的 人 的 合法 性 的 机 制 以 及 拒绝 无 资格 人 员 的 非法 修改 的 机 制 。 

你 可 能 遇 到 的 问题 是 很 多 机 构 没 有 明确 的 系统 信息 安全 策略 。 随 着 时 间 的 推移 ， 系 统 可 能 
已 经 为 了 解决 发 现 的 问题 做 了 更 改 ， 但 是 并 没有 详细 的 策略 文档 来 指导 系统 进化 。 在 这 样 的 情 
况 下 ， 你 需要 从 例子 中 制定 出 策略 并 写成 文档 ， 然 后 让 公司 管理 者 对 它 进 行 确认 。 

准则 2: 避免 单 点 失败 

在 任何 要 求 极 高 的 系统 中 ， 努力 做 到 避免 单 点 失败 是 个 好 的 设计 经 验 。 这 意味 着 系统 某 部 
分 的 单个 失败 不 会 造成 系统 的 总 体 失败 。 用 信息 安全 的 术语 ， 这 意味 着 我 们 不 应 该 依赖 一 个 单 
一 机 制 来 确保 信息 安全 ， 而 是 应 该 使 用 多 个 不 同 技术 。 有 时 我 们 称 之 为 “深度 防卫 ”。 

例如 使 用 口令 来 鉴别 系统 的 用 户 ， 你 也 要 包括 口令 /响应 验证 机 制 使 得 用 户 必须 预先 在 系统 
中 注册 问题 和 答案 。 经 过 口令 鉴定 ， 用 户 必须 正确 回答 问题 方 可 进入 系统 。 为 保护 系统 中 数据 的 
完整 性 ， 你 应 该 保存 一 份 有 关 所 有 对 数据 修改 的 可 执行 日 志 ( 见 准 则 5) 。 以 便 在 发 生 失败 时 ， 
可 以 根据 日 志 重 新 进行 数据 设置 。 你 可 能 还 要 在 变更 发 生 之 前 对 所 有 被 修改 了 的 数据 进行 备份 。 





9 0 Hd D oW AP wWHD 一 





第 14 章 信息 安全 工程 


准则 3: 可 恢复 性 失败 

在 所 有 系统 中 系统 失败 都 是 不 可 避免 的 ， 对 于 所 有 的 系统 都 是 这 样 ， 如 同 可 恢复 性 失败 之 
于 安全 要 求 极 高 系统 ， 信 息 安全 要 求 极 高 的 系统 也 必须 总 是 “失败 可 恢复 的 "。 在 系统 失败 时 可 
使 用 的 后 退 方式 不 能 有 比 系统 本 身 更 差 的 安全 性 。 系 统 失败 也 不 能 让 攻击 者 访问 到 一 般 情况 下 
不 可 能 访问 到 的 数据 。 

例如 ， 在 病人 信息 系统 中 ， 作 者 建议 一 个 需求 ， 即 病人 的 数据 应 该 在 病人 一 进入 诊所 那 一 刻 
就 下 载 到 系统 客户 端 。 这 样 做 能 加 速 访问 且 能 在 服务 器 无 法 连接 的 时 候 仍 可 以 访问 到 。 通 常 ， 当 
病人 看 完 病 时 服务 器 就 删除 此 部 分 数据 。 然 而 ， 如 果 服 务 器 和 失败， 就 存在 信息 被 保留 在 客户 端的 
可 能 。 在 这 些 情况 下 的 可 恢复 性 失败 方法 可 以 是 对 客户 端 病 人 数据 进行 加 密 。 这 就 意味 着 未 经 
授权 的 人 不 会 读 到 这 些 数据 。 

准则 4: 寻求 信息 安全 和 可 用 性 间 的 均衡 

信息 安全 要 求 和 可 用 性 要 求 有 时 会 发 生 冲 突 。 为 了 让 系统 安全 ， 你 就 必须 引入 多 个 检查 ， 包 
括 确保 用 户 获准 使 用 系统 的 检查 以 及 确保 他 们 的 行为 遵守 了 信息 安全 策略 。 所 有 这 些 不 可 避免 
地 要 对 用 户 施加 要 求 一 一 他 们 可 能 需要 记 住 登录 名 字 和 口令 ， 只 能 从 某 -- 台 计算 机 上 使 用 系统 
等 。 这 些 意味 着 用 户 在 启动 系统 和 有 效 地 使 用 上 需要 更 多 的 时 间 。 当 你 添加 这 些 信息 安全 特性 
到 系统 中 的 时 候 ， 不 可 和 避免 地 要 降低 系统 的 可 用 性 。 作 者 推荐 过 Cranor 和 Garfinkel 的 书 
(2005) ， 其 中 对 一 般 领 域 中 的 信息 安全 和 可 用 性 的 广泛 问题 进行 了 讨论 。 

添加 新 的 信息 安全 特性 到 系统 中 是 要 付出 可 用 性 代价 的 ， 这 里 存在 一 个 平衡 点 ， 越 过 这 个 
平衡 点 再 增加 信息 安全 特性 就 会 达 不 到 预期 的 目标 。 例 如 ， 如 果 你 要 求 用 户 输入 多 个 口令 或 者 
是 需要 频繁 地 更 换 口令 ， 势 必 造 成 用 户 无 法 在 脑 中 记 住 ， 他 们 可 能 就 自然 地 会 抄录 口令 在 本 子 
上 。 攻击 者 (尤其 是 内 部 人 员 ) 就 很 容易 发 现 此 口令 并 由 此 访问 系统 。 

准则 5: 记录 用 户 行为 

如 果 可 以 ,我 们 应 该 始终 保存 一 个 用 户 行为 记录 。 这 个 日 志 至 少 应 该 记录 谁 做 了 什么 ,使 用 
的 资产 ， 以 及 行为 的 时 间 和 日 期 。 如 准则 2 中 所 提 到 的 ， 如 果 我 们 把 这 个 保存 为 一 个 可 执行 命令 
表 ， 那 么 我 们 就 可 以 在 失败 后 重新 执行 记录 来 恢复 系统 。 当 然 ， 我 们 也 需要 工具 来 分 析 记 录 并 且 
检测 可 能 异常 的 行为 。 这 些 工具 能 够 扫描 记录 并 找 出 异常 行为 ， 因 此 可 以 帮助 检测 攻击 和 跟踪 
攻击 者 是 如 何 获得 系统 使 用 权 的 。 

除了 帮助 系统 从 失败 中 恢复 以 外 ， 用 户 行为 记录 作为 一 个 对 内 部 攻击 行为 的 威 慨 ， 也 起 到 
了 很 大 作用 。 如 果 人 们 知道 他 们 的 行为 会 被 记录 ， 那么 他 们 就 不 太 可 能 做 一 些 未 经 授权 的 事情 。 
这 对 于 偶然 性 攻击 是 很 有 效 的 ， 像 一 名 护士 查找 患者 记录 ， 或 是 检查 攻击 通过 社会 工程 盗 取 合 
法 用 户 证 书 的 地 方 。 当 然 ， 这 并 不 十 分 简单 ， 作 为 技术 上 相当 部 练 的 内 部 人 员 来 说 ， 也 能 够 获得 
并 修改 记录 。 

准则 6: 通过 宛 余 性 和 多 样 性 降低 风险 

宛 余 性 就 需要 在 系统 中 维护 多 于 一 个 版 本 的 软件 和 数据 。 多 样 性 对 于 软件 来 说 ， 意 味 着 不 
同 版 本 不 应 该 基于 相同 的 平台 或 者 是 使 用 相同 的 技术 。 因 此 ,平台 或 技术 漏洞 将 不 会 影响 所 有 
版 本 也 就 无 法 带 来 同样 的 失败 。 第 13 章 中 介绍 了 宛 余 性 和 多 样 性 怎样 作为 基本 的 机 制 在 可 依赖 
性 工程 中 使 用 。 

我 们 已 经 讨论 过 宛 余 性 的 例子 一 一 第 一 个 是 在 心理 健康 系统 中 维护 服务 器 上 的 和 客户 端 上 
的 病人 信息 ， 第 二 个 是 分 布 式 股票 交易 系统 ， 如 图 14-5 所 示 。 在 病人 记录 系统 中 ， 可 以 在 客户 
端 和 服务 器 端 使 用 不 同 操作 系统 ( 例如 Linux 作为 服务 器 端 ，Windows 作为 客户 端 ) ， 这 样 确保 
基于 操作 系统 漏洞 的 攻击 无 法 同时 影响 服务 器 和 客户 端 。 当 然 ， 我 们 必须 接受 在 一 个 机 构 中 维 
护 不 同 操作 系统 这 样 增长 的 管理 开支 作为 获得 这 些 好 处 的 代价 。 
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准则 7: 验证 所 有 输入 

通常 对 系统 的 一 个 攻击 总 是 通过 一 些 未 预料 到 的 输入 让 系统 以 一 种 无 法 预知 的 工作 方式 工 
作 。 这 些 会 直接 造成 系统 崩 演 ， 导 致 无 法 服务 或 者 是 输入 会 混合 进 恶 意 代码 。 缓 冲 区 溢出 漏洞 ， 
最 早出 现在 互联 网 蠕虫 (Spafford，1989) 中 且 常 常 被 攻击 者 采用 (Berghel，2001) ， 就 是 使 用 长 
输入 上 串 触发 的 。 所 谓 的 “SQL 中 毒 ”， 既 恶意 用 户 输入 一 个 SQL 片段 让 服务 器 解释 ， 是 另 一 个 相 
当 普遍 的 攻击 。 

正如 第 13 章 中 介绍 的 ， 如 果 我 们 将 输入 有 效 性 验证 设计 到 系统 中 的 话 就 能 够 避免 很 多 这 样 
的 问题 。 基 本 原则 是 ， 永 远 不 要 未 经 任何 检查 就 接受 输入 。 作 为 需求 的 一 部 分 ， 我们 要 定义 应 该 
应 用 的 检查 。 应 该 使 用 输入 的 知识 来 定义 这 些 检 查 。 例 如 ， 如 果 要 输入 姓 ， 就 应 该 检查 保证 其 中 
没有 空格 ， 且 唯一 可 用 的 标点 符号 是 连 字 号 。 同 时 还 要 检查 所 输入 字符 数 并 拒绝 明显 过 长 的 输 
入 。 例 如 ， 没 有 谁 的 姓 超过 40 个 字符 也 没有 一 个 住址 会 多 于 100 个 字符 。 正 如 第 16 章 中 讨论 
的 ， 如 果 你 用 菜单 呈现 允许 的 输入 ， 你 就 会 避免 输入 有 效 性 验证 的 很 多 问题 。 

准则 8: 划分 资产 

分 割 意味 着 不 用 提供 对 系统 中 所 有 信息 的 访问 权限 也 不 会 出 现任 何 信息 都 无 法 访问 的 问题 。 
而 是 将 系统 中 信息 合理 地 划分 到 一 些 仓位 ， 从 而 使 得 用 户 只 能 访问 到 他 /她 所 需要 的 那些 而 不 是 
全 部 信息 。 这 意味 着 攻击 的 影响 被 局 部 化 。 有 些 信息 会 丢失 或 者 被 损坏 但 是 不 太 可 能 造成 对 系 
统 中 所 有 信息 的 全 面 影响 。 

举例 ， 在 病人 信息 系统 中 ， 所 做 的 设计 应 该 是 这 样 的 ， 在 任何 一 个 诊所 中 ， 诊 所 工作 人 员 一 
般 只 能 访问 到 预约 此 诊所 的 病人 的 记录 。 他 们 一 般 不 应 该 看 到 系统 中 所 有 的 病人 的 信息 。 这 不 
仅 会 有 利于 限制 由 于 可 能 的 内 部 攻击 造成 损失 ， 也 意味 着 如 果 侵 入 者 窍 到 了 他 们 的 证 书 ， 那 么 
所 造成 的 损失 也 是 有 限 的 。 

说 到 此 ， 我 们 还 应 该 让 系统 有 这 样 一 种 允许 未 预料 访问 的 机 制 ， 即 假设 有 病情 十 分 严重 的 
病人 需要 紧急 处 理 而 无 需 事先 预约 。 在 此 情况 下 ， 我 们 应 该 使 用 另外 的 安全 机 制 来 克服 系统 中 
的 信息 分 割 。 在 这 样 的 情况 下 ， 信 息 安全 会 被 放宽 来 维持 系统 的 可 用 性 ， 使 用 一 个 登录 机 制 来 记 
录 系统 使 用 是 必要 的 。 然 后 我 们 能 检查 记录 来 跟踪 任何 未 经 授权 的 使 用 。 

准则 9: 部 署 设 计 

很 多 信息 安全 问题 的 发 生 是 因为 当 系 统 在 其 运行 环境 中 部 署 的 时 候 没 有 能 正确 地 配置 。 因 
此 系统 设计 应 该 总 是 包含 在 用 户 环境 中 简化 部 署 的 一 些 设施 ， 并 检查 潜在 的 配置 错误 和 遗漏 。 
这 是 一 个 很 重要 的 话题 ,将 在 14.2.3 节 单独 阐述 。 

准则 10: 可 恢复 性 设计 

无 论 在 系统 安全 维护 上 花 多 大 的 力气 ， 都 应 该 总 是 假设 信息 安全 失败 是 要 发 生 的 。 因 此 ， 我 
们 应 该 考虑 如 何 从 可 能 的 失败 中 恢复 ， 并 重建 系统 使 之 处 于 安全 的 运行 状态 。 例 如 你 会 包 合 一 
个 备份 的 验证 系统 以 备 你 的 口令 认证 被 攻破 。 

假设 某 个 未 经 批准 的 人 从 医院 外 部 获得 了 对 病人 记录 系统 的 访问 权限 ， 且 我 们 不 知道 他 们 
是 如 何 获 得 有 效 登 录 名 和 口令 的 。 我 们 需要 重新 初始 化 验证 系统 ， 并 且 不 仅仅 是 修改 被 侵入 者 
使 用 过 的 证 书 。 这 个 很 有 必要 ， 因 为 侵入 者 可 能 也 获得 了 其 他 用 户 的 口令 。 因 此 ， 我 们 也 必须 改 
变 所 有 认可 用 户 的 口令 信息 ， 以 确保 未 经 授权 的 用 户 没有 办 法 进入 口令 变更 机 制 中 来 。 

因此 ， 需 要 设计 系统 使 其 拒绝 对 没有 更 改口 令 的 所 有 用 户 的 访问 直到 他 们 已 经 完成 了 口令 
的 修改 为 止 ， 并 认证 真正 用 户 以 允许 他 们 更 改口 令 ， 尽 管 假设 他 们 选择 的 口令 可 能 是 不 安全 的 。 
一 个 方法 是 使 用 口令 /响应 机 制 ， 即 用 户 必须 回答 他 们 事先 注册 的 问题 。 这 只 有 在 修改 口令 发 生 
改变 的 情况 下 被 调用 ， 使 得 系统 从 攻击 中 恢复 过 来 ， 允 许 相对 少量 的 用 户 受到 影响 。 


第 14 童 ”信息 安全 工程 ， 


14.2.3 部署 设计 


对 系统 的 部 署 涉及 诸多 方面 ， 包 括 配置 软件 使 之 适应 运行 环境 ， 安 装 系统 到 此 环境 中 的 计 
算 机 上 ， 然 后 是 为 这 些 计 算 机 配置 所 安装 的 系统 ( 见 图 14-7 ) 。 配 置 可 以 简单 到 仅仅 是 设置 软件 
内 置 的 某 些 参数 来 反映 用 户 的 偏好 ， 也 可 能 复杂 到 定义 业务 模型 和 规则 ， 这 些 业务 模型 和 规则 


支配 软件 的 执行 。 
了 解 和 定义 软 | 在 准备 运行 软件 的 | 
件 的 运行 环境 | 计算 机 上 安装 软件 
根据 环境 详细 [D 根据 计算 机 的 具 目 
信息 配置 软件 | 体 情况 配置 软件 | 


图 14-7 软件 部 署 


就 是 在 这 个 软件 过 程 阶段 中 ， 通 常会 意外 地 导入 软件 漏洞 。 例 如 ， 在 安装 过 程 中 ， 软 件 通 常 
需要 在 配置 中 给 出 一 个 允许 用 户 的 列表 ， 此 列表 仅仅 包括 普通 管理 员 注册 (例如 “admin”) 和 
缺 省 的 口令 (例如 “password”) 。 这 使 得 系统 管理 员 设 置 系统 非常 容易 。 他 们 的 第 一 个 动作 应 该 
是 给 出 一 个 新 的 注册 名 和 口令 并 删除 普通 注册 名 。 然 而 ， 很 容易 忘记 这 一 点 。 知 道 缺 省 注册 信息 
的 攻击 者 就 可 以 获得 特殊 权限 访问 系统 。 

人 们 通常 将 配置 和 部 署 看 成 是 系统 管理 问题 ， 而 没有 将 其 看 成 是 软件 工程 过 程 范围 内 的 事 
情 。 诚 然 ， 好 的 管理 实践 会 避免 由 于 配置 和 部 署 上 出 现 的 错误 而 发 生 很 多 安全 问题 。 然 而 ， 软 件 
设计 者 有 责任 去 “为 部 署 而 设计 ”。 我 们 应 该 总 是 提供 内 级 的 对 部 署 的 支持 ， 此 支持 能 降低 系统 
管理 者 (或 者 用 户 ) 在 配置 软件 过 程 中 犯错 误 的 几率 。 

作者 推荐 4 种 能 在 系统 中 加 入 部 署 支持 的 方法 : 

1. 包含 对 配置 的 观察 和 分 析 的 支持 ”应 该 总 是 在 系统 中 包含 让 管理 者 或 者 是 获准 用 户 检查 当 
前 配置 的 设施 。 很 奇怪 的 是 此 设施 对 于 绝 大 多 数 系统 来 说 是 没有 的 ， 用 户 需 要 克服 很 多 困难 来 寻找 
配置 设 定 。 例 如 ， 在 作者 写 这 一 章 时 使 用 的 文字 处 理 器 ， 不 可 能 在 一 个 屏幕 上 看 到 或 打印 出 所 有 关 
于 你 的 偏好 的 设置 。 但 是 ， 如 果 管 理 员 能 够 得 到 配置 的 完整 视图 ， 他 们 就 更 容易 发 现 错误 和 遗漏 。 
理想 情况 下 ， 配 置 显示 也 应 该 高 亮 显示 出 那些 潜在 不 安全 的 配置 方面 ， 例 如， 口令 没有 设置 。 

2. 最 小 化 缺 省 特权 所 设计 的 软件 应 该 让 系统 的 缺 省 配置 提供 最 小 的 、 基 本 的 特权 。 由 此 
任何 攻击 者 所 能 带 来 的 灾难 都 能 得 到 有 效 地 控制 。 例 如 ， 缺 省 的 系统 管理 员 身份 应 该 只 允许 访 
问 让 系统 管理 员 重 新 设置 证 件 的 程序 。 它 不 应 该 允许 访问 任何 其 他 系统 设施 。 一 旦 新 的 证 件 已 
经 建立 ， 缺 省 的 注册 名 和 口令 应 该 自动 被 删除 。 

3. 局 部 化 配置 设 定 ” 在 设计 系统 配置 支持 时 ， 应 该 确保 配 置 中 的 每 一 处 如 果 是 属于 系统 的 
相同 一 部 分 则 设置 在 相同 的 位 置 。 还 是 以 微软 Word 为 例 ， 在 作者 所 使 用 的 Word 版 本 中 ， 可 以 
设置 某 些 安全 信息 ， 例 如 像 使 用 “参数 选择 /安全 ”菜单 设置 文档 访问 控制 的 口令 ， 而 其 他 信息 
是 在 “工具 /保护 文档 ”菜单 中 设置 的 。 如 果 设 置信 息 没 有 得 到 局 部 化 ， 很 容易 忘记 设置 了 此 
项 ， 或 者 是 ， 在 某 些 情况 下 ， 都 不 知道 系统 中 包含 某 些 安全 设施 。 

4. 提供 修补 安全 漏洞 的 简单 方法 ”应 该 包含 简单 的 更 新 系统 机 制 来 修补 已 经 发 现 的 安全 漏 
润 。 这 些 可 能 包括 自动 检查 安全 更 新 和 尽快 下 载 这 些 更 新 。 用 户 不 能 绕 开 这 些 机 制 ， 这 是 很 重要 
的 一 点 ， 因 为 不 可 避免 地 他 们 会 认为 其 他 工作 会 更 重要 。 有 多 个 有 记录 的 严重 的 信息 安全 问题 
的 例子 表明 ， 这 些 严 重 的 信息 安全 问题 的 发 生 ( 例 如， 医院 网 络 的 彻底 瘫 疾 ) 是 由 于 用 户 在 被 
要 求 更 新 软件 时 不 去 更 新 他 们 的 软件 。 
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14.3 系统 生存 能 力 

至 此 ， 已 经 从 应 用 开发 的 角度 讨论 了 信息 安全 工程 问题 。 系 统 获 得 者 和 开发 者 对 有 可 能 受 
到 攻击 的 系统 的 所 有 方面 都 能 够 进行 控制 。 现 实情 况 是 ， 如 图 14-1 中 所 暗示 的 ， 现 在 的 分 布 式 
系统 不 可 避免 地 依赖 于 基础 设施 ， 包 括 商业 现货 系统 和 可 复 用 组 件 ， 这 些 商 业 现货 或 者 是 组 件 
都 是 分 别 开 发 的 。 这 些 系统 的 信息 安全 特性 不 仅仅 依靠 于 局 部 设计 决策 ， 它 同样 受到 外 部 应 用 
的 信息 安全 、Web 服务 和 和 网 络 基础 设施 的 影响 。 

这 意味 着 ,无 论 我 们 对 信息 安全 投入 多 少 关注 ， 都 无 法 保证 系统 能 抵御 外 部 攻击 。 因 此 ， 对 
于 复杂 的 网 络 系统 ， 应 该 假定 渗透 是 无 处 不 在 的 ， 系 统 完 整 性 是 无 法 得 到 保证 的 。 由 此 ， 我 们 应 
该 考虑 如 何 将 系统 做 得 更 有 弹性 ， 使 之 在 最 恶劣 的 情况 下 也 照样 能 提供 给 用 户 最 基本 的 服务 。 

生存 能 力 (Westmark, 2004) 是 系统 的 作为 一 个 整体 所 表现 出 来 的 总 体 特性 ， 而 不 是 单个 组 
件 的 特性 ， 不 是 各 个 组 件 的 生存 能 力 。 系 统 生存 能 力 反 映 了 它 在 受到 攻击 甚至 是 在 被 攻击 后 ， 或 
者 系统 失败 发 生 、 系 统 部 分 遭 到 毁坏 后 ， 仍 然 能 够 连续 提供 给 合法 用 户 基 本 业务 或 关键 任务 服 
务 的 能 力 。 

我 们 致力 于 系统 生存 能 力 是 因为 我 们 的 经 济 和 社会 生活 都 依赖 于 计算 机 控制 的 要 求 极 高 的 
基础 设施 。 这 包括 供给 (如 电力 、 水 、 气 等 ) 基础 设施 ， 同 样 重要 的 还 有 交通 和 电信 (如 电话 、 
因特网 、 邮 政 服务 等 ) 基础 设施 。 然 而 ， 生 存 能 力 不 仅 仅 是 要 求 极 高 的 基础 设施 问题 ， 任 何 依 
赖 于 要 求 极 高 的 网 络 计算 机 系统 的 机 构 都 应 该 关心 他 们 的 业务 在 系统 无 法 抵挡 恶意 攻击 或 者 是 
发 生 灾 难 性 系统 失败 的 情形 下 会 受到 多 大 的 影响 。 因 此 ， 对 于 业务 要 求 极 高 的 系统 ， 生 存 能 力 分 
析 和 设计 应 该 是 信息 安全 工程 过 程 的 一 个 组 成 部 分 。 

维护 要 求 极 高 的 服务 的 可 用 性 是 生存 能 力 的 基本 内 容 。 这 意味 着 我 们 需要 了 和 解 ; 

a 业务 当中 最 为 关键 的 系统 服务 ; 

a 需要 维持 的 最 低 的 服务 质量 ; 

m 这 些 服务 怎样 得 到 折 中 ; 

E 如 何 能 保护 这 些 服务 ; 

m 如 果 服 务 不 再 可 用 的 话 ， 如 何 迅 速 恢 复 。 

例如 ， 在 救护 车 调度 系统 中 ， 要 求 极 高 的 服务 是 那些 与 接听 电话 和 为 紧急 救治 派 遗 救护 车 
相关 的 服务 。 其 他 服务 例如 电话 记录 ， 救 护 车 位 置 管理 也 是 次 等 重要 的 ， 因 为 它们 不 要 求实 时 处 
理 或 者 是 因为 其 他 机 制 可 以 代替 使 用 ， 例 如 ， 为 找到 救护 车 的 位 置 ， 我 们 可 以 呼叫 救护 车 上 的 人 
询问 他 们 所 在 的 位 置 。 

Ellison 和 Colleagues ( 1999a, 1999b, 2002) 设计 了 一 个 分 析 方 法 ， 被 称 为 可 生存 系统 分 析 。 
它 是 用 来 评估 系统 中 的 漏洞 并 支持 对 系统 体系 结构 和 能 提升 系统 生存 能 力 的 特征 的 设计 。 他 们 
的 论点 是 获得 生存 能 力 依赖 于 3 个 互补 的 策略 ， 

L RRA 通过 构建 击 退 攻击 的 能 力 避 免 出 现 问题 。 例 如 ， 系 统 可 以 使 用 数字 证 书 来 鉴别 
FAP, 这样 使 未 经 认定 的 用 户 获 得 访问 能 力 更 加 困难 。 

2. 识别 ”通过 构建 检测 攻击 和 失败 并 评估 损失 后 果 的 能 力 来 检测 问题 。 例 如 ， 检 验 码 可 以 
加 入 到 关键 数据 中 ， 这 样 对 数据 的 损坏 就 能 够 得 到 检测 。 

3. 恢复 ”通过 构建 在 受到 攻击 时 提供 基本 服务 的 能 力 和 在 攻击 发 生 后 恢复 完全 功能 性 的 能 力 
渡 过 困难 。 例 如 ， 可 以 包括 对 同一 功能 使 用 不 同 实现 的 容错 机 制 ， 以 应 对 部 分 系统 服务 的 缺失 。 

可 生存 系统 分 析 是 个 4 阶段 过 程 ( 见 图 14-8) ， 分 析 当 前 的 或 被 提议 的 系统 需求 和 体系 结 
构 ， 识 别 关键 性 服务 、 攻 击 想 定 和 系统 “弱点 "”， 以 及 提出 变更 来 改善 系统 的 生存 能 力 。 在 每 个 
阶段 的 关键 活动 是 : 
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l. 系统 理解 ”对 一 个 已 经 存在 的 或 者 是 准备 建立 的 系统 ， 复 查 系统 的 目标 (有 时 也 称 为 游 
戏 目 标 ) 、 系 统 需 求 和 系统 体系 结构 。 

2. 关键 服务 识别 ” 找 出 必须 维护 的 服务 和 用 于 维护 这 些 服务 所 需要 的 组 件 。 

3. 攻击 仿真 ” 找 出 对 于 可 能 的 攻击 的 想 定 或 用 例 和 这 些 攻 击 会 影响 的 系统 组 件 。 

4. 生存 能 力 分 析 找 出 那些 基本 的 组 件 和 易 受 攻击 的 组 件 ， 找 出 基于 抵抗 性 、 识 别 和 恢复 


的 生存 能 力 策略 。 
Ellison 和 他 的 同事 提出 了 此 方法 的 一 个 极 1. 检查 系统 需求 
和 体系 结构 
生存 能 力 的 策略 服务 和 组 件 


好 的 用 例 研 究 ， 是 基于 支持 心理 健康 治疗 系统 

的 ( 1999b)。 这 个 系统 与 本 书 中 的 MHC-PMS 
3. 找 出 攻击 和 吻 
这 受 损害 的 组 件 





(心理 健康 护理 信息 系统 ) 例子 很 类 似 。 这 里 
不 想 简单 重复 他 们 的 分 析 ;. 而 是 使 用 股票 交易 
系统 (如 图 14-5 所 示 ) 来 解释 生存 能 力 分 析 的 
某 些 特征 。 

从 图 14.5 中 可 以 看 到 ， 此 系统 已 经 有 了 某 
些 生存 能 力 方面 的 考虑 。 用 户 账号 和 股票 价格 
在 服务 器 间 复 制 ， 这 样 当 服务 器 无 法 使 用 时 股 
票 认购 仍 能 够 进行 。 让 我 们 假设 认可 用 户 的 下 图 14-8 生存 能 力 分 析 的 各 个 阶段 
单 能 力 是 必须 维护 的 关键 服务 。 为 了 确保 用 户 对 系统 的 信任 ， 对 系统 完整 性 的 维护 是 基本 的 。 订 
单 必须 是 精确 的 ， 目 反映 的 是 系统 用 户 所 作出 的 实际 交易 。 

为 维护 此 订购 服务 ， 使 用 了 3 个 系统 组 件 ， 

a 用 户 身份 验证 “ 它 允 许 经 认可 的 用 户 对 系统 的 登录 。 

自行 情 表 ” 它 可 以 给 出 股票 的 买 和 卖 的 价格 。 

a 下 单 ” 它 允许 在 某 个 价位 上 的 买单 和 卖 单 能 立即 得 到 执行 。 

这 些 组 件 显 然 使 用 了 一 些 基本 的 数据 资产 ， 如 用 户 账号 数据 库 、 价 格 数据 库 和 订单 交易 数 
据 库 。 如 果 要 维持 服务 ， 它 们 必须 能 够 在 攻击 中 存活 下 来 。 

对 此 系统 的 攻击 可 以 有 多 种 类 型 。 这 里 我 们 只 考虑 两 种 可 能 性 ， 

1 恶意 用 户 姨 恨 有 资格 的 系统 用 户 。 他 利用 正当 用 户 的 证 书 获取 对 系统 的 访问 。 向 系统 发 
出 恶意 的 订单 ， 实 现 了 股票 的 买卖 ， 有 正当 权限 的 用 户 就 会 出 现 问题 。 

2. 未 经 授权 的 用 户 通过 获取 直接 发 出 SQL 命令 的 许可 使 得 交易 数据 库 毁 坏 。 买 和 卖 的 关系 
因此 无 法 实现 。 

图 149 给 出 了 可 能 用 于 帮助 反击 这 些 攻击 的 抵抗 、 识 别 和 恢复 策略 。 






































将 订单 复印 件 通过 电子 邮件 发 
送 给 授权 用 户 ， 同 时 包括 联系 电 
话 (这 样 可 以 检测 恶意 下 单 ) 

维护 用 户 的 订单 历史 并 检查 非 
正常 的 交易 模式 


在 国际 服务 器 上 为 办 公 室 维护 
只 读 交 易 拷贝 。 定 时 地 比较 交易 
检查 其 中 的 问题 

对 所 有 交易 记录 维护 密码 的 校 
验 码 以 检查 其 中 的 问题 


提供 自动 “撤销 ”交易 的 机 制 
并 存储 用 户 的 账户 

在 有 恶意 交易 发 生 时 退还 用 户 
的 资金 。 保 证 不 再 会 发 生 其 他 
损失 


要 求 一 个 交易 口 
SHAFTA, wo 
SEAR TER 


n4 















未 经 授权 用 
户 的 恶意 下 单 





































要 求 特权 用 户 通 
过 更 强 的 认证 机 制 
(例如 数字 证 书 ) 
来 认证 







从 备份 拷贝 中 恢复 数据 库 
提供 一 个 在 指定 的 时 间 上 重 放 


交易 数据 库 
ms 交易 的 机 制 以 创建 交易 数据 库 
















图 14-9 股票 和 基金 交易 系统 中 的 生存 能 力 分 析 
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当然 ， 提 高 系统 的 生存 能 力 和 恢复 能 力 是 需要 付出 代价 的 。 公 司 如 果 从 来 没有 受到 过 严重 
攻击 或 者 是 没有 产生 过 相关 损失 ， 可 能 就 不 情愿 在 提高 生存 能 力 方面 投资 。 然 而 ， 就 像 我 们 平时 
未 雨 绸 缪 而 不 是 亡羊补牢 ， 最 好 是 在 没有 发 生成 功 攻击 之 前 对 生存 能 力 做 投资 。 生 存 能 力 分 析 
还 不 是 绝 大 多 数 软 件 工程 过 程 的 一 个 部 分 ， 但 是 ， 随 着 越 来 越 多 的 系统 成 为 业务 要 求 极 高 的 系 
统 ， 这 样 的 分 析 似乎 得 到 了 更 为 广泛 的 使 用 。 


a 信息 系统 安全 主要 关注 如 何 开发 和 维护 软件 系统 ， 使 之 能 抵御 那些 意 在 破坏 基于 计算 机 系 
统 或 其 数据 的 恶意 攻击 。 

a 信息 安全 威胁 是 对 系统 或 其 数据 的 机 密 性 、 完 整 性 或 可 用 性 的 威胁 。 

n 信息 安全 风险 管理 包括 对 攻击 产生 的 损失 的 评估 ， 导 出 意 在 消除 或 减少 这 些 损失 的 信息 安 
全 需求 。 

a 信息 安全 的 设计 包括 : 对 安全 系统 体系 结构 的 设计 ， 遵 从 好 的 安全 系统 设计 经 验 ， 以 及 加 
入 某 些 能 尽 可 能 减少 在 系统 部 署 中 导入 安全 脆弱 性 可 能 的 功能 。 

ua 在 设计 安全 系统 体系 结构 时 的 关键 问题 包括 : 组 织 系统 结构 来 保护 关键 性 资产 ， 分 布 存储 
系统 资产 以 最 小 化 成 功 攻击 所 带 来 的 损失 。 

w 信息 安全 设计 准则 能 使 系统 设计 者 对 先前 可 能 没有 考虑 到 的 安全 问题 更 加 敏感 。 它 是 创建 
安全 复查 清单 的 基础 。 

B 为 支持 安全 部 署 ， 应 该 提供 显示 和 分 析 系 统 配 置 的 手段 ， 使 配置 设置 局 部 化 以 便 不 会 忘记 
重要 的 配置 ， 最 小 化 系统 用 户 的 缺 省 特权 ， 并 提供 修复 信息 安全 脆弱 性 的 手段 。 

n 系统 生存 能 力 反映 的 是 系统 在 受到 攻击 或 者 是 部 分 系统 受到 损坏 后 持续 向 合法 用 户 提供 基 
本 业务 或 任务 要 求 极 高 的 服务 的 能 力 。 


进一步 阅读 材料 

《Survivable Network System Analysis; A Case Study) 这 是 一 篇 非常 棒 的 介绍 系统 生存 能 力 的 论 
文 ， 使 用 对 心理 健康 记录 处 理 系 统 案例 分 析 来 闹 述 生存 能 力 方法 的 应 用 (R. J. Ellison, R. C. 
Linger,T. Longstaff and N. R. Mead,IEEE Software,16 (4) July/August 1999) 。 

(Building Secure Software; How to Avoid Security Problems the Right Way》 这 是 一 本 很 好 的 实用 
类 书 ， 从 编程 视角 介绍 所 看 到 的 所 有 信息 安全 方面 问题 (J. Viega and G. McGraw , Addison-Wesley , 
2002), 

(Security Engineering: A Guide to Building Dependable Distributed Systems) 这 是 一 关于 构建 安 
全 系统 问题 的 全 面 而 又 深入 的 讨论 。 它 是 着 眼 于 系统 而 非 单 独 的 软件 工程 ， 全 面 涉 及 了 硬件 和 
网 络 。 还 有 非常 棒 的 来 自 真实 系统 失败 的 例子 (R. Anderson, John Wiley & Sons, 2001), 


练习 


14.1 解释 应 用 信息 安全 工程 和 基础 设施 信息 安全 工程 之 间 的 重要 区 别 。 

14.2 对 于 MHC-PMS (心理 健康 护理 信息 系统 ) ， 给 出 有 关 资 产 、 失 去 保护 、 脆 弱 性 、 攻 击 、 威 胁 和 控制 
的 例子 。 

14.3 解释 为 什么 有 必要 让 风险 评估 成 为 一 个 从 早期 的 需求 工程 阶段 到 运行 使 用 阶段 都 持续 的 过 程 。 

1.4 利用 对 14.2 题 有 关 MHC-PMS 系统 的 回答 ， 评 估 与 此 系统 相关 联 的 风险 ， 并 提出 两 个 能 降低 这 些 风 
险 的 系统 需求 。 

14.5 ”利用 一 个 非 软件 工程 的 上 下 文 的 类 比 ， 解释 为 什么 应 该 利用 分 层 方法 于 资产 保护 。 


14.6 
14.7 
14. 8 


14.9 
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解释 为 什么 在 系统 可 用 性 是 非常 关键 的 场合 使 用 多 种 技术 来 支持 分 布 式 系统 是 重要 的 。 
什么 是 社会 工程 ? 为 什么 在 大 机 构 中 避免 它 是 困难 的 。 

对 任何 我 们 在 使 用 的 商业 现货 软件 系统 来 说 (例如 微软 的 Word) ， 请 分 析 其 所 包含 的 配置 工具 并 讨 
论 其 中 你 发 现 的 问题 。 

解释 如 何 综合 使 用 抵抗 、 识 别 和 恢复 策略 来 增强 系统 的 生存 能 力 。 


14.10 ”对 于 证 券 交易 系统 ， 如 在 14.2.1 节 中 讨论 的 和 在 图 14-5 中 给 出 的 ， 提 出 两 个 更 为 可 信 的 对 系统 的 


攻击 ， 并 提出 对 抗 这 些 攻击 的 可 能 策略 。 
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目标 

本 章 的 目标 是 讨论 在 要 求 极 高 的 系统 的 开发 中 使 用 的 检验 和 有 效 性 验证 技术 。 读 完 本 章 ， 
你 将 了 解 以 下 内 容 : 

m 理解 不 同 的 静态 分 析 方法 在 要 求 极 高 的 系统 的 检验 中 怎样 使 用 ; 

m 理解 可 依赖 性 和 信息 安全 性 测试 中 的 基本 要 素 ， 以 及 测试 要 求 极 高 系统 的 固有 问题 ; 

四 了解 过 程 保 证 为 什么 是 重要 的 ， 特 别 是 当 软 件 需要 由 一 个 管理 部 门 认证 时 ; 

m 介绍 了 安全 和 可 依赖 性 用 例 ， 给 出 系统 安全 和 可 依赖 性 的 论点 和 证 据 。 

可 依赖 性 和 信息 安全 性 保证 是 关于 对 要 求 极 高 的 系统 能 和 否 满 足 其 可 依赖 性 要 求 的 检查 。 这 
要 求 检验 和 有 效 验证 (VAV) 过 程 查找 需求 说 明 、 设 计 以 及 程序 错误 等 可 能 影响 可 用 性 、 信 息 
安全 性 、 可 依赖 性 和 系统 安全 的 因素 。 

对 要 求 极 高 的 系统 的 检验 和 有 效 性 验证 显然 与 其 他 系统 的 有 效 性 验证 是 很 相似 的 。 其 V&V 
过 程 应 该 表明 系统 满足 它 的 描述 ， 而 且 系 统 所 提供 的 服务 和 所 表现 出 来 的 行为 能 满足 客户 的 需 
求 。 这 样 做 ， 通 常 能 够 表明 需求 ， 并 且 发 现 需要 修补 的 设计 错误 和 程序 漏洞 。 不 过 ， 要 求 极 高 的 
系统 要 求 特别 严格 的 测试 和 分 析 ， 原 因 有 两 个 ; 

1. 失败 的 代价 “要求 极 高 的 系统 失败 的 潜在 代价 和 后 果 比 一 般 系统 要 高 得 多 。 要 花 更 多 的 
时 间 降 低 系 统 失败 的 可 能 性 ， 通 常情 况 下 系统 发 布 前 找 出 和 纠正 错误 付出 的 成 本 要 低 于 系统 维 
护 中 系统 出 现 意外 所 付出 的 代价 。 

2. 可 依赖 性 属性 的 有 效 性 验证 ”客户 和 管理 部 门 需要 确信 所 定义 的 可 依赖 性 属性 (可 用 性 、 
可 依赖 性 、 安 全 性 和 信息 信息 安全 性 ) 已 经 得 到 满足 。 在 某 些 情况 下 ， 外 部 管理 部 门 如 民用 航 
空 权威 机 构 必须 在 其 部 署 前 确保 系统 的 安全 。 要 获得 认证 ， 需 要 展示 系统 怎样 通过 有 效 性 验证 。 
要 做 到 这 一 点 ， 就 必须 设计 和 执行 特殊 的 V&V 程序 来 收集 有 关系 统 可 依赖 性 的 证 据 。 

因为 这 些 原因 ， 要 求 极 高 的 系统 的 V&V 成 本 通常 比 其 他 类 型 系统 要 高 得 多 ， 往 往 占 总 开发 
成 本 的 一 半 以 上 。 

尽管 V&V 的 成 本 很 高 ， 但 是 由 于 它们 常常 能 使 故障 发 生 的 损失 明显 降低 ， 所 以 也 被 认为 是 
值得 的 。 举 例 来 说 ， 在 1996 年 ， 阿 丽 亚 娜 5 号 火箭 上 的 软件 系统 失败 ， 损 失 了 多 个 卫星 ， 尽 管 
没有 导致 人 员 伤 亡 ， 但 是 造成 的 间接 经 济 损失 达到 数 亿 美元 。 随 后 的 调查 发 现 是 系统 检验 和 有 
效 性 验证 的 不 足 部 分 导致 了 失败 。 如 果 使 用 了 更 有 效 的 审查 ， 往 往 也 是 相对 代价 低 的 ， 可 能 已 经 
发 现 了 导致 事故 的 问题 。 

虽然 要 求 极 高 的 系统 的 有 效 性 验证 过 程 应 该 主要 集中 在 确认 系统 的 有 效 性 和 信息 安全 性 保 
证 上 ， 但 也 应 该 有 相关 的 活动 来 确认 系统 开发 所 采用 的 过 程 是 可 靠 的 。 如 第 13 章 中 说 明 的 ， 系 
统 开发 过 程 的 质量 严重 影响 系统 的 质量 。 简 言 之 ， 一 个 好 的 过 程 能 产生 一 个 好 的 系统 。 

可 依赖 性 和 信息 安全 性 保证 过 程 的 结果 是 一 个 有 形 的 看 得 见 的 证 据 ， 比 如 说 关于 系统 可 依 
赖 性 的 审查 报告 、 测 试 结果 等 。 这 样 的 证 据 可 能 后 来 会 用 来 证 明 关于 部 署 和 使 用 一 个 系统 是 足 
够 可 靠 的 和 安全 的 这 样 一 个 决定 。 有 时 ， 系 统 可 依赖 性 的 证 据 体现 在 一 个 可 依赖 性 和 安全 性 的 
用 例 中 。 用 这 样 的 用 例 来 说 服 客户 和 外 部 管理 部 门 ， 开 发 者 在 系统 可 依赖 性 或 安全 性 方面 的 信 
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心 是 有 理由 的 。 


15.1 静态 分 析 


静态 分 析 技 术 是 不 涉及 程序 执行 的 系统 检验 技术 。 它 工作 在 软件 的 原始 形态 层面 上 ， 比 如 
描述 模型 和 设计 模型 ， 或 者 是 程序 的 源 代码 。 静 态 分 析 技 术 能 够 用 来 检查 系统 的 描述 和 设计 模 
型 ， 从 而 在 系统 的 可 执行 版 本 之 前 发 现 错误 。 它 的 优势 在 于 其 错误 呈现 不 会 干扰 系统 的 检测 。 当 
测试 一 个 程序 时 ， 一 个 缺陷 可 能 掩盖 其 他 缺陷 ， 所 以 当 删 除 一 个 检测 到 的 缺陷 时 必须 重复 测试 
程序 。 

正如 第 8 章 中 所 讨论 的 ， 可 能 最 通常 使 用 的 静态 分 析 技 术 是 同行 评审 和 检查 : 描述 、 设 计 和 
程序 是 由 同一 组 人 检查 的 。 他 们 详细 地 检查 设计 和 代码 ， 查 找 可 能 的 错误 和 遗漏 。 另 一 个 技术 是 
使 用 设计 建 模 工具 来 检查 统一 建 模 语言 (UML) 中 的 异常 ， 比 如 说 在 不 同 的 对 象 中 名 称 的 重复 
使 用 。 然 而 ， 对 于 要 求 极 高 的 系统 来 说 ， 下 列 静态 分 析 技 术 可 能 会 被 用 到 ; 

l. 形式 化 的 检验 ， 即 用 严密 的 数学 论证 以 说 明 程序 符合 它 的 描述 说 明 。 

2. 模型 检测 ， 即 用 一 个 定理 证 明 器 来 检查 系统 的 形式 代 描述 的 不 一 致 性 。 

3. 自动 程序 分 析 ， 即 检查 程序 源 代码 的 形式 ， 以 发 现 其 可 能 存在 的 错误 。 

这 些 技 术 之 间 是 紧密 联系 的 。 模 型 检测 依赖 于 系统 的 一 个 形式 化 模型 ， 该 模型 创建 自 形式 
化 描述 。 药 态 分 析 器 可 能 使 用 幅 入 在 程序 中 的 形式 化 断言 作为 注解 来 检查 相关 代码 与 这 些 断 言 
的 一 致 性 。 


15. 1.1 检验 和 形式 化 方法 


正如 第 12 章 中 所 讨论 的 那样 ， 软 件 开发 的 形式 化 方法 是 基于 作为 系统 描述 的 一 个 系统 形式 
化 模型 的 。 这 些 形式 化 方法 主要 关注 于 对 描述 的 数学 分 析 ; 将 这 个 描述 转变 换 成 一 个 更 详细 的 、 
语义 上 等 价 的 描述 ; 或 者 使 用 形式 化 检验 来 验证 系统 的 一 种 描述 和 另 一 种 描述 在 语义 上 是 等 
价 的 。 


Quas 


BE KOETEROGE STU AIRE oH SMR RL, SRM AREER 
陷 软 件 ， 用 来 保证 发 布 的 系统 有 高 级 别 的 可 依赖 性 。 在 净 室 过 程 中 ， 每 一 个 软件 增 量 被 形式 
化 地 详细 定义 ， 这 种 详细 的 描述 接着 被 转换 为 实现 。 软件 的 正确 性 通过 使 用 一 种 形式 化 的 方 
法 来 证 明 。 在 这 个 过 程 中 没有 对 缺陷 的 单元 测试 ， 并 且 系 统 测 试 是 以 评估 系统 的 可 依赖 性 为 
中 心 的 。 













http://www. SoftwareEngineering-9. com/Web/Cleanroom/ 


形式 化 方法 可 以 在 V&V 过 程 的 不 同 阶段 中 使 用 : 

l. 系统 的 形式 化 描述 的 使 用 和 数学 分 析 可 能 是 为 了 一 致 性 。 这 种 技术 对 发 现 描述 中 的 错误 
和 遗漏 是 有 效 的 。 模 型 检测 是 一 种 描述 分 析 ， 下 一 章节 会 讨论 到 。 

2. 使 用 数学 证 明 ， 可 以 形式 化 检验 软件 系统 的 代码 和 它 的 描述 是 一 致 的 。 这 就 要 求 有 一 种 
形式 化 的 描述 且 是 对 发 现 程序 错误 和 某 些 设计 错误 是 有 效 的 。 

因为 形式 化 的 系统 描述 和 程序 代码 之 间 存 在 较 大 的 语义 上 的 差距 ， 所 以 很 难 证 明 一 个 单独 
开发 的 程序 是 和 它 的 描述 相 一 致 的 。 因 此 ， 程 序 检验 的 工作 现在 是 基于 变换 开发 的 。 在 一 个 变换 
开发 过 程 中 ， 一 个 形式 化 的 描述 通过 一 系列 的 程序 代码 表示 。 软 件 工具 支持 变换 开发 ， 并 且 帮 助 
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核实 相应 系统 表示 的 一 致 性 。B 方法 很 可 能 是 最 为 广泛 使 用 的 形式 化 的 变换 方法 (Abrial, 2005; 
Wordsworth, 1996) 。 这 种 方法 已 经 被 于 开发 火车 控制 系统 和 航空 电子 技术 软件 。 

形式 化 方法 的 支持 者 声称 使 用 这 些 方法 会 产生 更 加 可 靠 和 安全 的 系统 。 形 式 化 检验 论证 开 
发 的 程序 符合 它 的 描述 并 且 其 实现 中 的 错误 不 会 危害 系统 的 稳定 性 。 如 果 像 用 CSP (Schneider, 
1999) 这 样 的 语言 写 的 描述 来 开发 并 发 系统 的 一 个 形式 化 的 模型 ， 可 能 会 发 现 那些 导致 最 终 程 
序 死 锁 的 情况 ， 并 且 能 够 解决 这 些 问 题 。 这 是 很 难 仅 仅 通 过 测试 来 完成 的 。 

然而 ， 形 式 化 描述 和 证 明 并 不 能 保证 软件 在 实际 使 用 中 将 是 可 靠 的 。 其 原因 包括 ; 

l. 描述 可 能 没有 反映 系统 用 户 真正 的 要 求 。 这 如 第 12 章 中 所 担 到 的 ， 系 统 用 户 几乎 不 可 能 
理解 形式 化 符号 系统 ， 所 以 他 们 不 能 通过 直接 阅读 形式 化 文档 来 找到 错误 和 遗漏 。 这 就 意味 着 
形式 化 的 描述 极 有 可 能 包含 错误 ， 并 且 不 是 系统 需求 的 一 个 准确 表示 。 

2. 证 明 可 能 包含 错误 。 程 序 证 明 是 庞大 和 复杂 的 ， 所 以 像 施 大 和 复杂 的 程序 本 身 一 样 ， 
它们 通常 也 包含 错误 。 

3. 证 明 所 假设 的 使 用 方式 可 能 是 错误 的 。 如 果 系 统 不 按 假设 的 情况 使 用 ， 那 么 证 明 就 是 无 效 的 。 

检验 一 个 重要 软件 系统 需要 很 多 时 间 ， 还 需要 数学 专家 和 专门 的 工具 ， 如 定理 证 明 器 。 因 此 
这 是 一 个 极端 昂贵 的 过 程 ， 随 着 系统 规模 的 增加 ， 形 式 化 检验 的 花费 不 成 比例 地 增加 。 因 此 很 多 
人 认为 形式 化 检验 是 不 划算 的 。 软 件 工程 师 们 认为 对 系统 的 相同 水 平 信 任 程度 可 以 使 用 其 他 的 
有 效 性 验证 技术 ,例如 审查 和 系统 测试 ， 而 这 要 便宜 得 多 。 

尽管 有 这 些 不 足 ， 但 是 形式 化 方法 在 开发 要 求 极 高 的 软件 系统 过 程 中 扮演 着 一 个 重要 的 角 
E (在 第 10 章 讨论 过 )。 形 式 化 描述 在 发 现 描述 中 的 问题 是 十 分 有 效 的 ， 这 些 问题 通常 导致 系 
统 失败 。 尽 管 形式 化 的 检验 对 于 大 型 系统 来 说 仍然 是 不 现实 的 ， 但 是 它 能 用 来 检验 那些 安全 要 
求 极 高 和 信息 安全 要 求 极 高 的 组 件 。 


15.1.2 模型 检测 


使 用 演绎 的 方法 形式 化 地 检验 系统 是 比较 困难 旦 昂贵 的 ， 人 们 又 提出 了 另外 一 种 形式 化 分 
析 方 法 ， 它 是 基于 一 个 更 有 限 的 正确 性 概念 。 这 些 方 法 中 最 为 成 功 的 是 模型 检测 (Baier 和 Ka- 
toen ，2008 ) 。 这 种 方法 被 广泛 用 来 检查 硬件 系统 的 设计 ， 并 且 在 像 NASA 的 火星 探测 车 (Regan 
和 Hamilton, 2004) 和 电话 呼叫 处 理 软件 这 样 的 要 求 极 高 的 软件 系统 中 越 来 越 多 地 使 用 。 

模型 检测 包括 创建 一 个 系统 模型 ， 并 且 使 用 特殊 的 软件 工具 检查 模型 的 正确 性 。 已 经 开发 
出 来 了 很 多 不 同 的 模型 检测 工具 一 一 对 软件 来 说 ， 最 为 广泛 使 用 的 是 SPIN (Holzmann, 2003), 


模型 检测 中 的 各 个 阶段 如 图 15-1 所 示 。 
系统 的 扩展 | 
ET 


需求 .设计 或 | — 
arf 














模型 检测 器 】 


图 15-1 模型 检测 


模型 检测 过 程 包括 建立 系统 形式 化 模型 ， 这 里 通常 要 用 到 扩展 有 限 状 态 机 。 模 型 检测 系统 
使 用 什么 语言 ， 模 型 就 被 表达 为 什么 的 语言 。 例 如 ，SPIN 模型 的 检查 器 使 用 Promela 语言 。 找 出 
一 组 需要 的 性 质 并 写成 形式 化 表达 ， 它 们 都 是 基于 时 序 之 辑 的 。 例 如 ， 对 于 野外 气象 站 系统 中 的 
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性 质 可 能 是 ， 系 统 总 是 从 “记录 ”状态 到 达 “ 传 送 ”状态 。 

模型 检测 器 接着 要 在 模型 中 探测 所 有 路 径 〈 例 如 ， 所 有 可 能 的 状态 转换 ) ， 检 查 每 条 路 径 所 
保持 的 性 质 。 如 果 成 功 ， 模 型 检测 器 会 确认 这 个 模型 关于 这 个 属性 是 正确 的 。 如 果 对 于 某 条 特殊 
的 路 径 此 性 质 不 能 保持 ， 模 型 检测 器 就 输出 一 个 反例 来 说 明 性 质 在 哪里 出 错 了 。 模 型 检测 在 并 
发 系统 的 有 效 性 验证 中 特别 有 用 ， 众 所 周知 ， 这 种 验证 由 于 系统 对 时 间 的 敏感 性 很 高 而 非常 难 
以 实施 。 检 查 器 可 以 通过 交叉 探测 和 并 发 转换 来 发 现 潜在 问题 。 

模型 检测 中 的 一 个 关键 问题 是 系统 模型 的 创建 。 如 果 模 型 需要 人 工 建 立 ( 从 一 个 需求 或 设 
计 文 档 出 发 ) ， 这 将 是 一 个 花费 很 高 的 过 程 并 且 会 占用 很 多 时 间 。 另 外 ， 也 有 可 能 建立 的 模型 不 
是 需求 和 设计 要 求 的 精确 模型 。 因 此 ， 如 果 模 型 能 够 从 源 代 码 开 始 自动 地 被 建立 是 最 好 的 选择 。 
Java Pathfinder (Java 路 径 查 找 ) 系统 (Visser 等 ，2003) 是 直接 从 Java 代码 开始 模型 检测 的 一 个 
例子 。 

模型 检测 时 计算 开销 很 大 ， 因 为 它 使 用 一 个 详尽 彻底 的 方法 来 检查 所 有 通过 系统 模型 的 路 
径 。 随 着 系统 大 小 的 增加 ， 状 态 也 随 之 增加 ， 结 果 是 需要 检查 的 路 径 数目 也 增加 了 。 这 就 意味 
着 ， 对 于 大 型 系统 ， 模 型 检测 可 能 是 不 实际 的 ， 原 因 是 执行 这 些 检 查 要 耗费 大 量 的 计算 时 间 。 

然而 ， 随 着 识别 部 分 未 探索 过 的 状态 的 算法 的 改进 ， 在 要 求 极 高 的 系统 开发 中 例 行 使 用 模 
型 检测 变 得 更 加 可 行 。 虽 然 它 并 不 能 真正 适用 于 机 构 的 面向 数据 的 系统 ， 但 是 它 能 够 被 用 来 检 
验 垦 入 式 软 件 系 统 ， 此 类 系统 建 模 为 状态 机 模型 。 


15.1.3 自动 静态 分 析 


正如 第 8 章 中 所 讲 的 ， 程 序 审查 通常 是 错误 列表 和 启发 法 驱动 的 。 它 们 可 以 识别 各 种 编程 语 
言 中 的 一 般 性 错误 。 对 于 某 些 错误 和 启发 式 ， 可 以 根据 这 些 表 自动 生成 对 程序 检查 的 过 程 。 由 此 
也 导致 了 能 够 发 现代 码 中 错误 片段 的 自动 化 静态 分 析 器 的 开发 。 

静态 分 析 工 具 对 系统 源 代码 进行 加 工 ， 并 且 至 少 对 于 一 些 类 型 的 分 析 不 需要 进 -- 步 的 输 和 人 。 
这 就 意味 着 程序 员 不 需要 学 习 专门 的 符号 来 写 系统 描述 ， 因 此 分 析 的 好 处 就 很 显而易见 了 。 这 
让 自动 静态 分 析 比 形式 化 的 有 效 性 验证 和 模型 检测 更 加 容易 地 引入 开发 过 程 。 因 此 ， 它 可 能 是 
静态 分 析 技 术 中 最 为 广泛 使 用 的 技术 。 

静态 程序 分 析 器 是 一 个 软件 工具 ， 扫 描 程 序 源 代码 ， 审 查 可 能 的 缺陷 和 异常 之 处 。 它 不 需要 
去 执行 程序 ， 而 是 通过 解析 程序 文本 从 而 识别 出 程序 语句 的 各 个 部 分 。 由 此 ， 分 析 器 审查 出 语句 
是 否 合乎 规则 ， 推 断 出 程序 的 控制 结构 ， 并 计算 出 可 能 的 程序 变量 值 。 静 态 程序 分 析 器 弥补 了 语 
言 编译 器 提供 的 错误 检测 设施 的 不 足 。 它 们 可 以 作为 审查 过 程 的 一 部 分 或 者 是 作为 单独 的 一 个 
检验 及 有 效 性 验证 过 程 活 动 。 自 动 程序 分 析 比 详细 的 代码 审查 更 加 快速 和 低 成 本 。 然 而 ， 它 不 能 
够 发 现在 程序 审查 会 中 所 指出 的 那 几 类 错误 。 

自动 静态 分 析 的 意图 是 引起 代码 阅读 表 对 程序 中 的 异常 的 注意 ， 例 如 变量 没有 初始 化 、 变 
量 未 曾 使 用 、 变 量 值 越界 等 ， 由 静态 分 析 能 审查 出 来 的 内 容 在 图 15-2 中 列 出 。 当 然 ， 具 体 的 语 
育 需 要 具体 的 检查 并 且 取 决 于 该 语言 的 约定 。 异 常 通 常 是 程序 错误 和 遗漏 的 结果 ， 所 以 它们 突 
显 那 些 在 程序 运行 时 会 出 错 的 一 些 东 西 。 然 而 ,我 们 应 该 明白 ， 这 些 异 常 不 一 定 都 是 程序 缺陷 。 
它们 可 能 是 故意 制作 的 ,或 者 是 不 会 产生 不 良 后 果 的 。 

在 静态 分 析 器 中 ， 有 3 个 级 别 的 检验 可 能 需要 实现 : 

1. 特有 错误 检查 ”在 这 个 级 别 上 ， 静态 分 析 器 知道 程序 员 使 用 像 Java 或 C 这 样 语言 编写 的 
通常 的 错误 。 分 析 器 分 析 代码 ， 形 式 查找 出 特有 的 问题 并 且 标 记 出 来 呈现 给 程序 员 。 尽 管 相对 简 
单 ， 分 析 是 基于 普通 错误 的 ， 但 是 却 是 非常 成 本 有 效 的 。Zheng 和 他 的 合作 者 (2006) 研究 了 在 
C 和 (C++ 语言 的 大 型 代码 中 使 用 静态 分 析 ， 并 且 发 现 90% 的 错误 是 由 10 种 特有 错误 造成 的 。 
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fe 陷 类 静态 分 析 检 查 
变量 在 初始 化 前 被 使 用 

变量 声明 了 但 未 使 用 

数据 缺陷 变 重 赋值 了 两 次 ， 但 两 次 峰值 之 问 并 未 得 到 使 用 

可 能 的 数组 边界 越界 

未 声明 的 变 重 










































控制 缺 了 不 可 到 达 的 代码 
无 条 件 的 转移 到 循环 中 

输入 /输出 缺陷 变量 输出 两 次 ， 其 间 并 末 有 新 的 赋值 
参数 类 型 不 匹配 
参数 数量 不 匹配 

SNR 函数 结果 无 法 使 用 









未 被 调用 的 函数 和 程序 
未 赋值 的 指针 

指针 计算 

内 存 泄 漏 
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2. 用 户 定义 错误 检查 ”在 这 种 方法 中 ,静态 分 析 器 的 用 户 可 能 定义 了 错 的 格式 ， 因 此 扩展 
类 型 的 错误 可 以 被 检测 到 。 在 必须 保持 顺序 的 情况 下 (例如 ，A 方法 必须 始终 在 B 方法 之 前 被 
调用 ) ， 这 种 方法 显得 特别 有 用 。 久 而 和 久之， 机 构 可 以 收集 发 生 在 他 们 程序 中 的 关于 普通 故障 的 
信息 ， 并 且 扩 展 静 态 分 析 工 具 来 标 出 这 些 错误 。 

3. 断言 检查 ”这 是 静态 分 析 中 最 为 常规 的 和 最 强大 的 方法 。 开 发 者 在 程序 中 包含 一 个 形式 
化 断言 (通常 写成 固定 格式 的 注释 ) ， 以 声明 在 程序 某 个 位 置 必 须 满足 的 关系 。 例 如 ， 断 言 可 能 
声明 一 些 变量 的 值 必须 在 x ~y 的 范围 内 。 这 些 分 析 器 符号 化 地 执行 代码 并 突显 断言 不 能 保持 的 
语句 。 这 种 方法 使 用 在 像 Splint (Evans 和 Larochelle, 2002) 和 SPARK Examiner ( Croxford 和 Sut- 
ton, 2006) 这 样 的 分 析 器 中 。 

静态 分 析 对 查找 程序 中 错误 是 很 有 效 的， 但 是 一 般 会 产生 大 量 的 “ 误 报 ”。 本 来 没有 错误 的 
代码 部 分 但 是 按 静 态 分 析 器 的 规则 却 检查 出 有 错误 的 可 能 性 。 误 报 的 数目 可 以 通过 用 断言 的 
形式 对 程序 增加 更 多 的 信息 来 减少 。 当 然 ， 这 需要 代码 开发 者 额外 的 工作 来 完成 。 在 代码 自己 能 
够 被 检查 出 错误 之 前 ， 对 产生 这 些 误 报 的 筛选 工作 就 要 完成 。 

静态 分 析 对 于 信息 安全 性 检查 来 说 尤为 具有 价值 (Evans 和 Larochelle, 2002) 。 静 态 分 析 器 
可 以 被 用 来 检查 众所周知 的 问题 ， 比 如 说 缓冲 区 外 溢 ， 还 有 未 检查 的 输入 ， 这 些 输入 可 能 来 自 攻 
击 者 。 对 众所周知 问题 的 检查 对 于 提升 信息 安全 性 来 说 很 有 效 ， 因 为 大 部 分 攻击 者 将 他 们 的 攻 
击 建立 在 这 些 普 通 的 漏洞 上 。 

信息 安全 性 测试 是 比较 困难 的 ， 因 为 攻击 者 常常 会 做 出 一 些 意料 之 外 的 事情 ， 测 试 者 是 很 
难 预 测 到 的 ， 这 一 点 后 面 会 讲 的 。 静 态 分 析 器 能 将 测试 者 可 能 不 具备 的 复杂 的 安全 专业 知识 加 
入 其中， 并 且 在 程序 被 测试 之 前 就 可 以 应 用 。 如 果 使 用 静态 分 析 ， 你 可 以 断言 所 有 可 能 的 程序 执 
行 都 是 正确 的 ， 而 不 仅仅 是 那些 和 你 设计 过 的 执行 相符 合 的 测试 。 

如 今 静态 分 析 在 很 多 机 构 中 的 软件 开发 过 程 中 例 行 使 用 。 微 软 在 容易 因为 程序 故障 导致 一 
系列 严重 影响 的 设备 驱动 器 方面 引进 了 静态 分 析 (Larus 等 ，2003 ) 。 他 们 现在 将 这 个 方法 扩展 
到 更 广泛 的 软件 范围 来 查找 信息 安全 性 问题 和 影响 程序 可 依赖 性 的 错误 (Ball 等 ，2006) 。 很 多 
要 求 极 高 的 系统 ， 包 括 航 空 电子 技术 和 核子 系统 ， 都 例 行 地 把 静态 分 析 作为 V&V 过 程 的 一 部 分 
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(Nguyen 和 Ourghanlian, 2003) 。 


15.2 ”可靠 性 测试 

可 靠 性 测试 是 度量 系统 可 靠 性 的 一 个 测试 过 程 。 正 如 第 10 章 中 所 解释 的 ， 已 经 有 一 些 可 靠 
性 量度 指标 ， 像 请 求 失 败 概率 (probability of failure on demand , POFOD) 和 失败 发 生 率 (the rate 
of occurrence of failure, ROCOF) 。 这 些 指标 从 量 上 详细 说 明了 所 需 软 件 的 可 靠 性 。 如 果 系 统 已 经 
达到 了 要 求 的 可 依赖 性 水 平 ， 可 以 在 可 靠 性 测试 过 程 中 得 到 验证 。 

测量 系统 可 靠 性 的 过 程 如 图 15-3 所 示 ， 这 个 过 程 包括 4 个 阶段 ， 

1. 从 研究 已 经 存在 的 同一 类 型 系统 开始 ， 理 解 这 些 系统 在 实践 中 是 怎样 被 使 用 的 。 这 很 重 
要 ， 因 为 你 必须 通过 系统 用 户 的 使 用 来 度量 其 可 靠 性 。 目 的 是 建立 运行 概况 。 运 行 概况 要 找 出 系 
统 输入 的 分 类 以 及 这 些 输入 将 在 正常 使 用 中 出 现 的 可 能 性 。 

2. 构造 一 个 能 反映 运行 概况 的 测试 数据 集合 。 这 就 是 说 要 获得 具有 相同 概率 分 布 的 测试 数 
据 作为 所 研究 系统 的 测试 数据 。 通 常 可 以 使 用 测试 数据 生成 器 得 到 测试 数据 。 

3. 使 用 上 面 生成 的 测试 数据 对 系统 进行 测试 、 记 录 发 现 的 失败 和 每 个 失败 类 型 发 生 的 次 数 。 
正如 第 10 章 所 讨论 的 ， 所 采用 的 时 间 单 位 应 该 适合 相应 的 可 靠 性 度量 。 
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4. 当 观 察 到 相当 数量 的 失败 后 ， 软 件 的 可 靠 性 就 可 以 计算 了 。 我 们 就 可 以 计算 出 适当 的 可 


靠 性 度量 值 。 





= 4 tee at 准备 测试 上 实施 对 系统 计算 观察 的 } 
图 15-3 可 依赖 性 度量 


这 个 四 步 方法 有 时 被 称 为 统计 测试 。 统 计 测 试 的 目标 是 要 评估 系统 的 可 靠 性 。 这 与 缺陷 测 
试 第 8 章 中 讨论 过 的 ) 形成 鲜明 对 比 。 缺 陷 测试 是 要 发 现 系统 的 缺陷 。Prowell 4 ( Prowell 等 ， 
1999) 在 他 们 的 有 关 净 室 软件 工程 的 书 中 讨论 了 统计 测试 的 各 个 方面 。 

这 些 可 靠 性 测量 方法 虽然 在 理论 上 看 起 来 很 好 ， 但 是 实际 应 用 过 程 中 并 不 是 那么 简单 。 

主要 的 困难 在 于 : 

L 运行 概况 的 不 确定 性 ”运行 概况 可 能 无 法 精确 反映 系统 真实 的 使 用 情况 。 

2. 测试 数据 生成 的 高 成 本 ”生成 运行 概况 中 所 需要 的 大 量 数据 是 非常 昂贵 的 ， 除 非 此 过 程 
完全 能 自动 完成 。 

3. 在 指定 高 可 靠 性 情况 下 统计 的 不 确定 性 ”需要 生成 相当 数量 的 有 统计 意义 的 失败 才能 得 
到 精确 的 可 靠 性 测量 结果 。 当 软件 已 经 可 靠 时 ， 发 生 的 错误 相对 较 少 ， 并 且 不 容易 产生 新 的 
错误 。 

4. 识别 故障 ”系统 故障 的 发 生 并 不 总 是 很 明显 。 如 果 你 有 一 个 形式 化 的 描述 ， 也 许 能 够 从 
描述 中 确定 偏差 。 但 是 ， 如 果 描 述 是 自然 语言 ， 由 于 其 可 能 具有 二 义 性 ， 观 察 者 可 能 在 系统 是 否 
发 生 故 障 方面 存在 分 歧 。 

到 目前 为 止 ， 产 生 大 测试 数据 集 的 最 好 方法 是 使 用 某 些 测试 数据 生成 器 ， 这 些 测试 数据 生 
成 器 能 自动 生成 运行 概况 中 规定 的 输入 类 型 的 测试 数据 。 然 而 ， 对 于 交互 式 系统 却 不 总 是 能 自 
动产 生出 所 有 的 测试 数据 ， 因 为 输入 通常 是 对 系统 输出 的 响应 。 因 而 数据 需要 由 手工 设计 ， 这 项 
工作 是 费用 很 高 的 。 但 完全 自动 化 也 是 不 可 能 的 ， 而 且 编 写 测试 数据 产生 器 的 命令 又 要 耗费 大 
量 时 间 。 

统计 性 测试 可 结合 故障 注入 来 收集 数据 以 说 明 缺 陷 测 试 过 程 是 怎么 有 效 的 。 故 障 注 人 
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(Voas, 1997) 是 有 意 地 在 程序 中 植 人 错误 。 当 程序 执行 时 ， 这 些 错 误 将 导致 程序 出 错 并 产生 相 
关 的 故障 。 然 后 我 们 分 析 故 障 ， 来 发 现 问题 的 根源 是 否 是 你 增加 进程 序 中 的 一 个 错误 。 如 果 发 现 
X% 的 注入 错误 导致 了 故障 ， 那 么 故障 注 人 的 支持 者 会 声称 ， 这 表明 缺陷 测试 过 程 也 会 在 程序 中 
发 现 X% 的 实际 错误 。 

当然 ， 这 是 假设 注入 错 误 的 分 布 及 类 型 和 实际 中 出 现 的 错误 是 一 致 的 。 对 由 于 编程 错误 所 
产生 的 缺陷 来 说 ， 这 种 假设 应 该 是 合理 的 ， 但 是 故障 注 和 人 在 预测 源 于 需求 和 设计 缺陷 而 产生 的 
错误 数量 来 说 并 不 有 效 。 

统计 性 测试 通常 能 发 现 那些 V&V 过 程 发 现 不 了 的 错误 。 这 些 错 误 可 能 意味 着 系统 的 可 依赖 
性 不 能 达到 要 求 并 且 必 须 进 行 修 订 。 通 过 这 些 修订 ， 系 统 能 够 重新 测试 并 再 次 评估 其 可 依赖 性 。 
当 修 订 和 再 测试 过 程 重复 进行 若干 次 后 ， 推 疡 结果 并 预测 什么 时 候 能 达到 要 求 的 可 依赖 性 级 别 
就 是 可 能 的 事 了 。 我 们 首先 要 有 一 个 可 依赖 性 增长 模型 ， 它 描述 了 可 依赖 性 是 怎么 随 着 时 间 改 
善 的 。 然 后 找到 推断 数据 和 增长 模型 的 匹配 点 ， 这 样 有 助 于 对 测试 做 规划 。 有 时 ， 一 个 增长 模型 
可 能 揭示 了 所 要 求 的 可 依赖 性 级 别 是 不 可 能 达到 的 ， 所 以 需要 重新 协商 需求 。 
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可 依赖 性 增长 模型 是 关于 系统 的 可 依赖 性 随 着 测试 工作 的 进行 如 何 改变 的 。 随 着 系统 故 
障 的 暴露 ， 潜 在 的 导致 这 些 故障 的 错误 被 修订 ， 所 以 系统 可 依赖 性 在 系统 测试 和 调试 期 间 得 
以 提升 。 为 了 预测 可 依赖 性 ， 概 念 上 的 可 依赖 性 增长 模型 必须 转换 成 一 个 数学 模型 。 

http://www. SoftwareEngineering-9. com/Web/DepSecAssur/RGM. html 


运行 概况 

软件 的 运行 概况 反映 软件 在 实际 过 程 中 将 是 如 何 使 用 的 。 它 包含 对 输入 类 型 的 描述 以 及 这 
些 输 入 发 生 的 可 能 性 。 当 一 个 新 的 软件 系统 替换 已 存在 的 手工 作业 方式 或 自动 化 系统 时 ， 很 自 
然 地 就 能 得 到 新 软件 可 能 的 使 用 模式 。 新 软件 的 使 用 模式 应 该 大 致 上 和 现存 的 使 用 操作 模式 相 
仿 ， 只 是 需要 根据 新 软件 所 提供 的 功能 进行 适当 调整 。 举 例 来 说 ， 对 于 一 个 电信 交换 系统 可 以 给 
出 它 的 运行 概况 ， 因 为 通信 公司 知道 这 个 系统 所 需要 处 理 的 调用 模式 。 

运行 概况 中 关于 输入 及 其 可 能 性 的 典型 描述 如 图 15-4 所 示 。 那 些 发 生 概率 极 高 的 少数 输入 
类 型 列 于 图 中 的 最 左 侧 ， 还 有 大 量 输入 类 型 ， 它 们 发 生 的 可 能 性 是 相当 低 的 ,但 又 不 是 不 可 能 发 
生 的 ， 这 些 类 型 输入 列 于 图 中 的 右 侧 ， 图 中 省 略 号 表示 该 图 并 未 详尽 列 出 所 有 的 输入 类 型 。 

Musa (1998) 讨论 了 在 他 所 从 事 的 电信 
领域 中 运行 概况 的 发 展 。 因 为 收集 用 法 数据 已 
经 有 很 长 的 历史 了 ， 所 以 运行 概况 开发 过 程 相 
对 比较 简单 。 文 档 仅 仅 反映 了 历史 的 用 法 数 
据 。 对 于 一 个 需要 大 约 15 人 年 方 能 开发 完成 
的 系统 ， 运 行 概况 大 约 需要 1 人 月 就 可 以 完 
成 。 而 在 其 他 情形 中 ， 运 行 概况 生成 要 长 得 多 
(2-3 人 年 ) ， 当 然 ， 这 个 成 本 最 后 分 解 到 了 
系统 多 个 发 布 版 本 中 了 。Musa 经 过 对 他 所 在 
的 公司 (一 家 电信 公司 ) 的 统计 发 现 ， 在 开 
发 运行 概况 上 的 投资 至 少 有 10 倍 的 回报 。 


输入 个 数 





图 15-4 运行 概况 
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不 过 ， 当 一 个 软件 系统 是 新 的 或 者 有 所 创新 的 时 候 ， 预 期 它 将 如 何 使 用 是 很 困难 的 。 因 此 ， 
得 到 准确 的 运行 概况 是 不 太 可 能 的 。 系 统 的 用 户 对 系统 有 不 同 的 期 待 ， 他 们 的 背景 不 尽 相 同 ， 而 
县 他们 也 会 有 不 同 的 经 验 ， 没 有 可 以 沿袭 的 用 法 数据 库 。 计 算 机 用 户 对 系统 的 使 用 方式 往往 超 
出 设计 者 的 估计 。 

对 于 一 些 像 电信 系统 这 样 使 用 一 个 标准 化 的 模式 的 系统 来 说 ， 开 发 准确 的 运行 概况 是 完全 
有 可 能 的 。 然 而 ， 对 于 其 他 类 型 的 系统 来 说 ， 有 很 多 不 同 的 用 户 ， 他 们 以 各 自 不 同 的 方式 使 用 系 
统 。 正 如 第 10 章 中 所 讨论 的 ， 因 为 使 用 系统 的 方式 不 同 ， 不 同 的 用 户 可 能 得 到 截然 不 同 的 系统 
可 依赖 性 印象 。 

而 且 问 题 不 仅 如 此 ， 运 行 概况 不 是 静止 不 变 的 ， 而 是 会 随 着 系统 的 使 用 不 断 变化 。 当 用 户 使 
用 系统 的 经 验 不 断 增长 时 ， 用 户 的 能 力 和 信心 也 在 不 断 增加 ， 他 们 会 用 更 复杂 的 方式 使 用 系统 。 
因为 这 些 方面 的 原因 ， 开 发 出 一 个 准确 的 运行 概况 有 时 几乎 是 不 可 能 的 。 因 此 ， 不 能 对 任何 可 依 
赖 性 度量 的 准确 性 有 十 足 的 把 握 ， 因 为 它们 可 能 是 基于 系统 使 用 方式 的 不 准确 的 假设 。 


15. 3 信息 安全 性 测试 


当 越 来 越 多 的 系统 连接 到 互联 网 时 ， 系 统 的 信息 安全 评估 开始 逐渐 地 重要 起 来 。 基 于 网 络 
的 系统 常常 受到 攻击 ， 病 毒 和 蜂 虫 使 用 因特网 协议 到 处 散布 。 

所 有 这 些 意味 着 基于 网 络 系统 的 检验 和 有 效 性 验证 必须 集中 在 信息 安全 评估 上 。 信 息 安 全 
评估 要 测试 系统 抵御 各 种 类 型 的 攻击 的 能 力 。 但 是 ， 正 如 Anderson (Anderson, 2001) 所 说 ， 这 
种 信息 安全 评估 很 难 开 展 。 结 果 ， 系 统 总 存在 可 使 攻击 者 获得 存 取 权 或 摧毁 系统 或 破坏 数据 的 
安全 漏洞 。 

从 根本 上 讲 ， 信 息 安 全 很 难 评估 的 原因 有 两 个 : 

1 在 于 信息 安全 性 需求 ， 就 像 某 些 安全 性 需求 一 样 ， 是 “不 应 该 ”的 需求 。 这 就 是 说 ， 它 
们 定义 了 哪些 系统 行为 是 不 允许 发 生 的 ， 而 不 是 定义 了 期 待 发 生 的 行为 。 然 而 ， 并 不 总 是 能 用 一 
些 系 统 容易 检查 的 简单 约束 来 定义 这 些 行为 。 

如 果 资 源 可 用 (至 少 在 原理 上 ) ， 你 总 能 证 明 系统 满足 功能 需求 。 但 是 很 难 证 明 系统 不 能 做 
某 事 。 所 以 系统 不 管 有 多 少 的 测试 ， 信 息 安全 的 脆弱 性 仍 能 保留 在 系统 中 。 当 然 ， 你 可 以 生成 一 
些 功 能 性 的 需求 ,设计 它 们 用 来 保护 系统 免 章 一些 已 知 类 型 的 攻击 。 但 是 ， 你 不 能 由 未 知 的 和 不 
能 预期 类 型 的 攻击 派生 出 相应 的 需求 。 即 使 对 一 个 久 经 考验 的 系统 ， 机 灵 的 攻击 者 也 能 发 现 新 
的 攻击 方式 ， 从 而 可 以 进入 看 似 安全 的 系统 中 。 

2. 攻击 系统 的 人 都 很 聪明 ， 并 且 很 积极 地 去 发 现 系 统 的 弱点 。 他 们 很 乐意 拿 系统 做 实验 ， 
并 且 尝 试 那些 非 同 寻常 的 行为 和 系统 使 用 。 例 如 ， 在 一 个 姓氏 域内 ， 他 们 可 能 输入 1000 个 混合 
着 字母 、 标 点 和 数字 的 字符 。 此 外 ,一旦 他 们 发 现 一 个 漏洞 ， 他 们 会 交换 关于 漏洞 的 相关 信息 ， 
来 增加 可 能 攻击 者 的 数目 。 

攻击 者 可 能 尝试 发 现 系统 开发 者 所 做 出 的 假设 ， 然 后 做 出 违反 这 些 假设 的 动作 以 观察 出 现 
怎样 的 结果 。 他 们 处 在 一 个 利用 和 探索 系统 的 时 期 ， 并 且 使 用 软件 工具 来 分 析 系 统 发 现 可 以 被 
他 们 利用 的 漏洞 。 实 际 上 ， 他 们 可 能 比 系统 测试 工程 师 花 更 多 的 时 间 来 查找 漏洞 ， 作 为 测试 者 必 
须 也 将 焦点 集中 在 测试 系统 之 上 。 

基于 这 样 的 原因 ， 静 态 分 析 能 够 成 为 一 个 特别 有 用 的 系统 测试 工具 。 一 个 程序 的 静态 测试 
可 以 很 快 地 指引 测试 团队 找到 可 能 包含 错误 和 漏洞 的 地 方 。 静 态 分 析 中 发 现 的 异常 能 够 直接 补 
修订 或 者 能 够 帮助 鉴别 测试 是 否 这 些 异 常 代表 着 系统 存在 风险 。 

检查 系统 的 信息 安全 性 ， 可 以 使 用 组 合 测试 ， 基 于 工具 的 分 析 和 形式 化 的 检验 ; 

L 基于 经 验 的 测试 ”在 这 种 情形 中 ,检验 小 组 根据 掌握 的 攻击 类 型 对 系统 进行 分 析 。 这 可 
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能 包括 开发 测试 用 例 或 者 检查 系统 源 代码 。 例 如 ， 检 查 不 为 众人 所 周知 的 SQL 语句 攻击 的 系统 ， 
可 以 使 用 包含 SQL 语句 的 命令 测试 系统 。 检 查 缓冲 区 溢出 错误 是 否 会 发 生 时 ， 可 以 检查 所 有 输 
人 缓冲 区 ， 看 是 否 程序 中 缓冲 区 元 素 的 赋值 都 是 在 界 内 的 。 

这 种 类 型 的 有 效 性 验证 通常 与 基于 工具 的 有 效 性 验证 一 起 进行 ， 工 具 能 够 提供 信息 并 且 帮 
助 把 重点 放 在 系统 测试 上 。 创 建 信息 安全 问题 的 检查 表 有 助 于 有 效 性 验证 过 程 。 图 15-5 给 出 了 
可 能 驱动 基于 经 验 测试 的 问题 的 一 些 例子 。 对 于 信息 安全 性 设计 和 编程 指引 (第 14 章 ) 是 否 被 
遵 短 的 检查 也 可 能 被 包含 在 一 个 信息 安全 性 问题 检查 表 中 。 

2. 老虎 小 组 ”这 是 一 种 基于 经 验 的 测试 形式 ， 可 以 从 开发 团队 外 部 利用 经 验 来 测试 应 用 系 
统 。 专 门 建立 一 个 老虎 小 组 ， 其 使 命 就 是 攻破 系统 信息 安全 防线 。 他 们 模拟 黑客 对 系统 攻击 ， 发 
挥 他们 的 才智 来 发 现 系统 漏洞 。 老 虎 小 组 成 员 应 当 具 有 原先 安全 测试 工作 的 经 验 ， 并 且 找 到 过 
系统 信息 安全 性 的 弱点 。 

3. 基于 工具 的 测试 ”对 于 这 种 方法 ， 使 用 各 种 不 同 的 信息 安全 工具 ， 如 口令 检验 器 分 析 系 
统 。 口 令 检 验 器 检查 不 安全 的 口令 ， 如 姓名 或 由 连续 字母 组 成 的 字符 串 。 这 实际 上 是 基于 经 验 的 
验证 的 扩展 ， 系 统 信息 安全 缺陷 的 经 验 被 固化 在 工具 中 了 。 当 然 ， 静 态 分 析 是 另 一 一 种 基于 工具 的 
测试 方法 

4. 形式 化 检验 ”对 系统 按照 形式 化 信息 安全 描述 进行 检验 。 不 过 ， 如 在 其 他 领域 中 ,形式 
化 检验 没有 被 广泛 采用 。 


信息 安全 检查 表 
l. 应 用 中 所 有 创建 的 文件 都 具有 适当 的 访问 许可 吗 ? 错误 的 访问 许可 可 能 导致 哪些 被 访问 的 文件 被 
未 授权 的 用 户 使 用 


2. 系统 是 否 在 用 户 有 一 一 段 时 间 匀 打 汤 的 情况 下 自动 终止 用 户 的 此 次 访问 吗 ? 用 户 的 访问 过 程 如 果 依 
然 有 效 那 会 带 来 通过 无 看 护 的 计算 机 进行 的 未 授权 的 访问 





3. 如 果 系 统 所 用 的 编程 语言 是 一 种 没有 数组 边界 检查 的 语言 ， 是 否 存在 缓存 溢出 会 被 利用 的 情形 。 
缓存 溢出 会 允许 攻击 者 发 送 代码 串 到 系统 并 执行 它们 





4 如 果 口 令 已 设 定 ， 是 否 系统 检查 口令 是 “强壮 ”的 ? 强壮 的 口令 包含 混合 的 字母 、 数 字 和 标点 符 
号 ， 且 不 会 是 能 在 词典 里 面 找到 的 。 它 们 会 比 简单 口令 更 难以 攻破 
5. eura AB ACTU ASIOEVE T REST HERA A HET WE SER Ss 
息 安全 脆弱 性 的 一 般 原因 





图 15-5 信息 安全 检查 表 的 例子 


信息 安全 性 测试 不 可 避免 地 受到 测试 团队 可 用 的 时 间 和 资源 的 限制 。 这 就 意味 着 你 应 当 采 
用 一 个 冒险 的 方法 来 进行 信息 安全 性 测试 ， 并 且 把 注意 力 集中 在 你 认为 的 系统 最 可 能 出 现 问 题 
的 风险 上 。 如 果 你 对 系统 信息 安全 性 风险 有 一 个 分 析 ， 这 些 分 析 可 以 被 用 来 驱动 测试 的 过 程 。 在 
对 这 些 风 险 所 导出 的 信息 安全 需求 进行 系统 测试 之 外 ， 测试 团队 也 应 该 试图 通过 采用 另外 的 威 
胁 系 统 资产 的 途径 来 攻击 系统 。 

对 于 最 终 用户 来 说 ， 检 验 系统 的 信息 安全 是 非常 困难 的 。 因 此 ， 在 北美 和 欧洲 的 政府 团体 已 
经 建立 起 了 信息 安全 的 评估 准则 ， 可 以 供 专业 的 评估 人 员 使 用 (Ptleeger 和 Pfleeger, 2007), $ 
件 产品 提供 商 可 以 提交 他 们 的 产品 接受 基于 这 些 准则 的 评估 和 认证 。 因 此 ， 如 果 你 对 信息 安全 需 


” 求 有 特别 的 要 求 ， 你 可 以 选择 一 种 已 经 得 到 过 相应 级 别 信息 安全 检验 的 产品 。 然 而 ， 实 际 上 ， 这 


些 准则 主要 还 是 在 军事 系统 中 使 用 ， 并 没有 得 到 很 多 商业 上 的 接受 。 


15.4 过 程 保证 
正如 13 章 中 所 讨论 的 ， 经 验 表明 可 靠 的 过 程 产生 可 靠 的 系统 。 这 就 是 说 ， 如 果 一 个 过 程 基 
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于 好 的 软件 工程 实践 ， 那 么 更 有 可 能 产生 可 靠 的 软件 产品 。 当 然 ， 一 个 好 的 过 程 并 不 能 保证 完全 
的 可 依赖 性 。 但 是 ,证 据 表 明和 人 们 使 用 了 可 靠 的 过 程 来 提升 整体 的 系统 可 依赖 性 的 信心 。 过 程 保 
证 是 关于 系统 开发 中 所 使 用 的 信息 以 及 这 些 过 程 的 结果 的 收集 的 活动 。 这 些 信息 为 软件 开发 期 
间 所 执行 的 分 析 、 复 查 和 测试 工作 提供 证 据 。 

过 程 保 证 关乎 两 个 方面 的 事情 : 

1. 我 们 是 否 拥 有 正确 的 过 程 ? 是 否 在 机 构 里 使 用 了 系统 开发 过 程 ， 包 括 对 于 被 开发 系统 类 
型 的 适当 控制 和 V&V 子 过 程 ? 

2. 我 们 正在 进行 的 过 程 是 否 正 确 ? 机 构 是 否 如 它 的 软件 过 程 描 述 所 定义 的 那样 执行 它 的 开 
发 工作 的 ， 并 且 是 否 已 经 明确 规定 了 软件 过 程 的 结果 (输出 )? 


人 rense 


管理 者 是 由 政府 指定 的 来 保证 私人 企业 不 会 通过 衙 避 国 家 有 关 安 全 和 信息 安全 等 标准 的 
方式 获 利 。 很 多 像 原子 能 、 航 空 和 银行 业 这 样 的 产业 中 都 有 管理 部 门 。 在 要 求 极 高 的 国家 基 
础 设施 建设 中 软件 系统 变 得 越 来 越 重 要 ， 这 些 管理 部 门 也 逐渐 对 软件 系统 的 信息 安全 性 和 可 
依赖 性 用 例 更 加 关注 。 

http://www. SoftwareEngineering-9. com/ Web/ DepSecAssur/ Regulation. html 












对 于 那些 在 要 求 极 高 系统 工程 方面 有 大 量 经 验 的 公司 来 说 ， 它 们 已 经 摸索 出 自己 的 能 反映 
良好 的 检验 和 有 效 性 验证 的 实践 。 在 有 些 时 候 ， 这 还 包括 它们 与 外 部 管理 部 门 在 使 用 什么 样 的 
过 程 方面 达成 的 一 致意 见 。 尽 管 在 公司 之 间 有 很 多 过 程 上 的 不 同 ， 但 是 在 要 求 极 高 的 系统 开发 
过 程 中 ,应当 包含 的 活动 有 : 需求 管理 ， 变 更 管理 ， 配 置 控制 ， 系 统 建 模 ， 复 查 以 及 审查 ， 测 试 
计划 ,测试 覆 盖 分 析 。 过 程 改善 的 概念 ， 即 在 过 程 中 引入 好 的 实践 经 验 并 制度 化 ， 将 在 第 26 章 
讨论 到 。 

过 程 保证 的 另 一 个 方面 是 检查 是 否 过 程 得 到 了 正确 的 贯彻 执行 。 这 通常 包括 确保 过 程 产生 
正确 的 文档 ， 并 检查 过 程 的 文件 材料 。 例 如， 一 个 可 依赖 过 程 的 一 部 分 会 包括 形式 化 的 程序 审 
查 。 每 次 审查 所 涉及 的 文档 应 当 包 括 用 来 驱动 审查 的 检查 表 、 人 员 列 表 ， 以 及 审查 过 程 中 发 现 的 
问题 和 要 求 采取 的 行动 。 

因此 ， 要 证 明 使 用 了 一 个 可 依赖 的 过 程 应 包括 生成 一 大 批 关于 开发 过 程 的 文档 类 材料 和 软 
件 本 身 。 对 于 这 样 的 大 量 文档 的 需要 ， 意 味 着 敏捷 过 程 在 要 求 信息 安全 性 和 可 依赖 性 认证 的 系 
统 中 很 少 使 用 。 敏 捷 过 程 侧重 于 软件 本 身 ， 以 及 〈 坚 定 地 ) 主张 大 量 的 过 程 文档 从 生成 以 后 再 
也 没有 被 使 用 过 。 然 而 ， 当 过 程 信息 作为 系统 安全 性 或 可 依赖 性 用 例 的 一 部 分 时 ， 就 必须 创建 证 
据 和 记载 过 程 的 活动 。 















© 次 件 工程 师 许 可 


在 许多 应 用 类 型 中 ， 负 责 安全 的 系统 工程 师 必须 是 经 过 认证 的 。 无 经 验 的 、 资 质 差 的 工 
程 师 是 不 能 对 安全 负责 的 。 目 前 对 软件 工程 人 员 还 没有 这 样 的 规定 。 虽 然 美国 菜 些 州 颁发 了 
软件 工程 师 执照 (Knight 和 Leveson, 2002; Bagert，2002)。 然 而 ， 将 来 对 信息 安全 性 要 求 极 
高 的 软件 开发 的 过 程 标准 可 能 需要 的 项 目 安全 工程 师 应 该 是 正式 认证 的 ， 具 备 菜 一 最 低 水 平 
的 资格 和 经 验 。 
http://www. SoftwareEngineering-9. com/Web/ DepSecAssur/ Licensing. html 
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安全 保证 过 程 

大 部 分 过 程 保 证 的 工作 已 经 用 于 安全 性 要 求 极 高 的 系统 开发 领域 中 。 在 安全 性 要 求 极 
高 的 系统 开发 过 程 中 包含 V&V 过 程 是 很 重要 的 ，V&V 过 程 用 于 安全 性 分 析 和 保证 。 有 两 个 
原因 : 

1. 事故 在 要 求 极 高 系统 中 是 罕见 的 事件 ， 不 可 能 在 测试 过 程 中 实际 地 模拟 它们 。 不 能 指望 
用 全 面 测 试 重复 事故 发 生 的 条 件 。 

2. 如 第 12 章 中 讨论 的 ， 安 全 性 需求 有 时 是 “不 应 该 ”类 型 的 需求 ， 它 可 以 排除 不 安全 系统 
行为 。 它 是 不 可 能 通过 测试 和 其 他 检验 需求 得 到 满足 的 有 效 性 验证 活动 表现 出 来 的 。 

专门 的 安全 保证 活动 一 定 要 包含 在 软件 开发 过 程 当中 的 所 有 阶段 当中 。 这 些 安全 性 保证 活 
动 记 录 所 进行 的 分 析 以 及 负责 这 些 分 析 的 人 员 。 被 加 入 到 软件 过 程 中 的 安全 性 保证 活动 可 能 包 
括 以 下 这 些 方 面 : 

l. 危险 日 志和 监控 ， 从 初步 危险 分 析 到 测试 再 到 系统 有 效 性 验证 全 过 程 眼 踪 危 险 。 

2. 安全 复查 ,贯穿 在 整个 开发 过 程 中 的 安全 性 复查 。 

3. 安全 认证 ,对 安全 性 要 求 极 高 的 组 件 进 行 正式 的 安全 认证 。 由 一 个 独立 于 系统 开发 团队 
的 外 部 人 员 组 成 的 小 组 检查 相关 的 证 据 ， 并 且 在 它 投入 使 用 前 决定 一 个 系统 或 组 件 是 否 是 安 
全 的 。 

为 了 支持 这 些 安全 性 保证 过 程 ， 应 该 指定 项 目 安全 工程 师 ， 他 应 当 对 系统 的 安全 性 方面 负 
有 明确 的 责任 。 这 就 意味 着 这 些 人 在 系统 安全 性 故障 出 现时 应 该 承担 责任 。 他 们 必须 能 够 证 明 
安全 性 保证 相关 步骤 已 经 得 到 了 正确 的 执行 。 

安全 工程 师 和 质量 经 理 一 起 工作 ， 确 保 使 用 一 个 详细 的 配置 管理 系统 追踪 所 有 安全 相关 文 
档 ， 并 且 保持 系统 和 相关 的 技术 文档 同步 。 对 于 所 有 的 可 靠 系统 这 都 很 关键 。 如 果 一 个 配置 管理 
故障 意味 着 将 错误 的 系统 交付 给 了 客户 ， 那 么 严格 的 有 效 性 验证 过 程 也 就 没什么 意义 了 。 配 置 
和 质量 管理 将 在 第 24 章 和 第 25 章 中 讲述 。 

危险 分 析 过 程 作为 安全 性 要 求 极 高 的 系统 开发 过 程 中 一 个 重要 部 分 ， 它 是 安全 性 保证 过 
程 的 一 个 例子 。 危 险 分 析 重 点 在 识别 危险 及 其 发 生 概 率 。 危 险 概率 指 的 是 导致 事故 的 危险 产 ， 
生 的 概率 。 如 果 有 程序 代码 检查 并 处 理 每 个 危险 ， 就 可 以 证 明 这 些 危险 不 会 造成 事故 了 。 这 
样 的 论证 可 以 辅 之 以 在 本 章 后 面 的 章节 中 会 讨论 到 的 安全 性 论证 。 在 一 个 系统 使 用 前 需要 得 
到 外 部 认证 的 时 候 (例如 ， 飞 机 中 的 软件 系统 ) ， 能 证 明 软件 具有 跟踪 能 力 通 常 是 认证 的 前 提 
条 件 。 

应 该 生成 的 核心 安全 文档 是 危险 日 志 。 这 个 文档 提供 了 有 关 如 何 识别 在 软件 开发 过 程 中 所 
考虑 的 危险 的 证 据 。 这 个 危险 日 志 要 用 于 软件 开发 过 程 的 每 个 阶段 ， 记 录 在 各 个 开发 阶段 是 如 何 
考虑 这 些 危险 的 。 胰 岛 素 泵 系统 的 一 个 简化 了 的 危险 日 志 条 目 如 图 15-6 所 示 。 它 记录 了 危险 分 
析 的 过 程 并 显示 了 在 这 个 过 程 中 生成 的 设计 需求 。 该 设计 需求 目的 是 确保 控制 系统 不 会 产生 过 
量 的 胰岛 素 。 

如 图 15-6 所 示 ， 每 个 安全 负责 人 都 要 在 条 目 中 明确 地 标明 ， 这 是 很 重要 的 ， 因 为 有 以 下 两 
方面 的 原因 : 

1， 当 人 员 被 确定 时 ， 他 们 可 以 对 自己 的 行动 负责 。 这 就 意味 着 他 们 很 可 能 更 关心 自己 的 工 
作 ， 因 为 任何 问题 都 可 以 追踪 到 他 们 的 工作 上 。 

2. 在 发 生 事故 时 ， STREP 生 法 律 诉 讼 或 调查 。 能 够 确认 对 安全 保证 的 负责 人 很 重要 ， 这 

.— 样 他 们 就 能 够 说 明 他 们 的 行为 。 
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危险 日 志 第 4 页 : 打印 日 期 2009 -02 -20 
系统 : 胰岛 素 泵 系统 文件 : InsulinPump/Safety/HazardLog 
安全 工程 师 : James Brown 日 志 版 本 : 1/3 

识别 出 的 风险 传输 了 过 量 的 胰岛 素 给 病人 
识别 人 Jane Williams 

危险 类 型 1 

识别 出 的 风险 高 

缺陷 树 识别 
缺陷 树 创建 人 
缺陷 树 检查 


系统 安全 性 设计 需求 : 

L 系统 必须 包含 自 检测 软件 ， 能 够 测试 传感器 系统 、 时 钟 以 及 胰岛 素 传输 系统 。 

2. 自 检测 软件 必须 每 一 分 钟 执行 一 次 。 

3， 当 自 检测 软件 无 论 在 哪个 系统 组 件 中 发 现 了 缺陷 ， 必 须 能 发 出 声音 报警 ， 泵 显示 器 必须 指示 缺陷 所 在 的 组 件 的 名 
F, 胰岛 素 传输 因而 要 暂停 。 

4. 系统 需要 插 人 一 个 干预 系统 允许 系统 用 户 修改 通过 计算 得 到 的 胰岛 素 剂量 。 

5. 干预 的 量 一 定 不 能 大 于 预 设 值 〈 最 大 干预 量 ) ， 这 是 医务 人 员 对 系统 事先 设置 好 的 。 
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日 期 2007-01-28 检查 人 James Brown 




















图 15-6 简化 了 的 危险 日 志 条 目 


15.5 安全 性 和 可 依赖 性 案例 


信息 安全 性 和 可 依赖 性 保证 过 程 会 产生 大 量 的 信息 。 其 中 可 能 包括 测试 结果 ， 使 用 的 开发 
过 程 信息 ， 复 审 会 议 记录 等 信息 。 这 样 的 信息 提供 了 系统 的 信息 安全 性 和 可 依赖 性 证 据 ， 并 且 帮 
助 判 断 系统 是 否 对 于 运行 使 用 有 足够 的 可 依赖 性 。 

安全 案例 和 可 依赖 性 案例 ， 是 一 种 结构 化 文档 ， 用 来 给 出 有 关系 统 是 安全 的 或 达到 了 所 需 
要 的 可 依赖 性 的 水 平 的 详细 论证 和 证 据 。 它 们 有 时 被 称 为 保证 案例 。 根 本 上 说 ， 一 个 安全 性 或 者 
可 依赖 性 案例 就 是 把 所 有 可 用 的 证 据 放 在 一 起 ， 展 示 系 统 是 值得 信任 的 。 对 于 很 多 要 求 极 高 的 
系统 ， 具 有 安全 案例 的 产品 是 法 律 上 的 需要 ， 并 且 在 系统 使 用 前 案例 必须 满足 某 种 认证 要 求 。 

管理 部 门 的 职责 是 检查 一 个 完全 的 系统 的 实用 性 、 安 全 性 和 信息 安全 性 。 所 以 当 一 个 开发 
项 目 完成 时 ， 外 部 管理 部 门 一 般 就 要 介入 了 。 但 是 管理 部 门 和 开发 者 几乎 不 是 孤立 工作 的 ;他 们 
与 开发 小 组 进行 交流 以 确定 哪些 东西 应 该 包含 在 安全 案例 当中 。 管 理 部 门 和 开发 者 联合 起 来 检 
查 过 程 和 步骤 以 保证 这 些 过 程 和 步骤 都 能 按照 管理 部 门 的 要 求实 施 和 文档 化 。 

可 依赖 性 案例 通常 在 系统 开发 过 程 中 或 之 后 开发 。 在 开发 过 程 活动 不 能 生成 系统 可 依 
赖 性 的 证 据 的 情况 下 ， 有 时 可 能 会 导致 问题 的 发 生 。Graydon 等 (2007) 认为 安全 性 和 可 依 
赖 性 案例 的 开发 应 该 紧 紧 和 系统 设计 和 实现 结合 在 一 起 。 这 就 意味 着 系统 设计 的 决策 会 受 
可 依赖 性 案例 的 需求 的 影响 。 那 些 可 能 明显 增加 案例 开发 的 难度 和 花费 的 设计 选择 必须 尽 
量 避 免 。 

可 依赖 性 案例 是 系统 安全 性 案例 的 一 般 化 。 安 全 案例 是 一 组 文档 ， 它 包括 经 过 确认 的 系统 
描述 、 开 发 系统 所 使 用 的 过 程 的 相关 信息 ， 以 及 更 重要 的 能 证 明 系统 是 安全 的 逻辑 论证 。Bishop 
和 Bloomfield (1998) 给 安全 案例 下 了 个 更 简洁 的 定义 ，: 

是 一 组 文档 化 的 证 据 ， 它 提供 了 令 人 信服 的 和 有 效 的 论证 ， 证 明 在 给 定 的 环境 下 系统 对 于 
特定 的 应 用 是 安全 的 。 

安全 性 和 可 依赖 性 案例 的 组 成 和 内 容 依赖 于 所 要 确认 的 系统 的 类 型 和 它 的 操作 上 下 文 。 图 
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15-7 给 出 了 一 个 软件 安全 案例 的 一 个 可 能 的 组 成 ， 但 是 还 没有 广泛 使 用 的 工业 标准 。 安 全 性 案 
例 的 结构 根据 行业 和 领域 的 成 熟 度 各 不 相同 。 例 如 ， 原 子 能 安全 案例 已 经 使 用 很 多 年 了 。 它 们 非 
常 广泛 并 且 以 一 种 原子 能 工程 师 所 熟悉 的 方式 呈现 。 但 是 ， 医 疗 设备 的 安全 性 案例 最 近 才 被 引 
入 。 它 们 的 结构 更 加 灵活 ， 并 且 案 例 本 身 也 没有 原子 能 案例 具体 。 























* OUT a x 
系统 描述 系统 概述 和 对 其 关键 组 件 的 描述 
危险 和 风险 分 析 描述 所 识别 的 危险 和 风险 以 及 所 采取 的 降低 风险 措施 的 文档 。 危 险 分 析 和 危险 日 志 













一 组 结构 化 的 论证 (参见 15. 5. 1 节 ) ， 以 证 明 设计 是 安全 的 


描述 所 使 用 的 V&V 过 程 ， 适 当 的 地 方 ， 还 会 包括 对 系统 的 测试 计划 。 测 试 结果 的 总 结 
会 给 出 所 检测 到 的 且 改 正 了 的 缺陷 。 如 果 使 用 了 形式 化 方法 ， 会 有 一 个 形式 化 系统 撒 述 
和 对 此 描述 的 其 他 分 析 。 对 源 代码 的 静态 分 析 记 录 


对 所 有 设计 和 安全 复查 的 记录 
投 和 人 到 安全 相关 的 系统 开发 和 验证 的 所 有 团队 成 员 的 能 力 的 证 据 

在 系统 开发 过 程 中 所 执行 的 质量 保证 过 程 (015824 章 ) 的 记录 

对 所 提出 的 所 有 变更 、 所 执行 的 活动 的 记录 ， 有 的 时 候 ， 还 包括 这 些 变 更 安全 性 的 判断 
指向 其 他 会 对 此 安全 案例 产生 影响 的 安全 案例 的 指针 


图 15-7 软件 安全 案例 内 容 


当然 软件 本 身 并 不 危险 。 仅 仅 当 它 被 固化 到 一 个 大 型 的 基于 计算 机 或 社会 技术 系统 时 ， 软 
件 的 失败 会 导致 其 他 设备 或 系统 的 失败 从 而 造成 伤亡 。 所 以 一 个 软件 安全 案例 总 是 更 广泛 的 系 
统 安全 案例 〈 展示 整个 系统 的 安全 ) 的 一 部 分 。 当 构造 一 个 软件 安全 案例 时 ， 你 需要 把 软件 失 
败 同 更 广泛 的 系统 失败 关联 起 来 ， 说 明 不 会 出 现 这 些 软件 失败 ， 或 者 是 软件 失败 不 会 以 一 种 能 
最 终 导致 系统 失败 的 方式 传播 。 


15.5.1 结构 化 论证 


决定 一 个 系统 是 否 在 使 用 中 足够 可 依赖 ， 这 是 应 该 基于 逻辑 论证 的 。 这 些 论证 应 该 表明 所 
提出 的 证 据 能 够 支持 系统 信息 安全 性 和 可 依赖 性 的 断言 。 这 些 断 言 可 能 是 绝对 的 (事件 X 将 会 
发 生 或 将 不 会 发 生 ) ,或 可 能 的 (事件 Y 发 生 的 概率 是 0.n)。 论 证 就 是 把 证 据 和 断言 连接 起 来 。 
如 图 15-8 所 示 ， 论 证 是 一 个 关系 ， 是 一 种 什么 将 会 发 生 〈 断 言 ) 和 一 组 收集 到 的 证 据 之 间 的 关 
系 。 论 证 ， 主 要 是 解释 为 什么 断言 能 够 从 得 到 的 证 据 中 推断 出 来 。 断 言 是 关于 系统 信息 安全 性 和 
可 依赖 性 的 断言 。 


设计 分 析 









检验 和 有 效 性 验证 


































变更 管理 过 程 
相关 的 安全 案例 

















图 15-8 结构 化 论证 


第 15 章 可 依赖 性 与 信息 安全 保证 


例如 ， 胰 岛 素 泵 是 一 个 对 安全 性 要 求 极 高 的 设备 ， 一 旦 出 现 故 障 就 可 能 伤害 到 用 户 。 在 许多 
国家 里 ， 这 就 意味 着 管理 部 门 ( 在 英国 是 医疗 设备 理事 会 ) 必须 在 设备 售 出 和 使 用 之 前 ， 使 系统 
的 安全 性 让 人 信服 。 为 了 做 出 这 样 的 决策 ， 管 理 部 门 要 评估 系统 安全 性 案例 ， 这 样 的 案例 给 出 关 
于 系统 正常 操作 不 会 对 用 户 造成 伤害 的 结构 化 论证 。 

安全 性 案例 总 是 依赖 于 结构 化 的 基于 断言 的 论证 。 例 如 ， 下面 的 论证 会 被 用 来 证 明 由 控制 
软件 所 执行 的 计算 将 不 会 导致 给 予 用 户 过 量 的 胰岛 素 。 当 然 ， 这 是 一 个 简化 了 的 论证 。 一 个 真正 
的 安全 案例 中 应 该 给 出 对 证 据 的 详细 引用 。 

断言 ,胰岛 素 泵 的 一 次 最 大 量 不 超过 maxDose， 这 里 maxDose 是 经 过 核定 的 对 一 个 特殊 病人 
一 次 使 用 的 安全 剂量 。 

ER: 胰岛 素 泵 软件 控制 程序 的 安全 论证 (在 之 后 的 章节 中 会 讨论 到 安全 性 论证 ) 。 

证 据 : 胰岛 素 泵 的 测试 数据 集 。 在 400 份 测试 中 ，currentDose 的 值得 到 准确 计算 并 且 从 来 没 
有 超过 maxBose。 

ER: 胰岛 素 泵 控制 程序 的 静态 分 析 报 告 。 这 种 控制 软件 的 静态 分 析 呈 现 没 有 任何 异常 影 
响 currentDose 的 赋值 ， 呈 现 那 个 表示 要 注射 的 胰岛 素 剂 量 的 程序 变量 。 

论点 : 给 出 的 安全 证 据 表明 可 以 计算 出 的 胰岛 素 剂量 最 大 量 等 于 maxDose。 

总 之 ， 有 充分 的 信心 去 合理 地 假设 ， 证 据 证 明了 这 样 的 一 个 断言 ， 即 胰岛 素 泵 不 会 计算 出 一 
个 超出 最 大 单个 剂量 的 传输 剂量 。 

注意 到 证 据 的 表示 既 元 余 又 是 多 样 的 。 软 件 经 过 了 多 个 不 同 的 机 制 的 检查 ， 这 些 机 制 之 间 
存在 很 大 的 重生 性 。 如 在 第 13 章 中 讨论 过 ,使 用 元 余 性 和 和 多样 性 的 过 程 增加 了 信心 。 如 果 和 遗漏 
和 错误 不 能 被 一 个 有 效 性 验证 过 程 检查 出 来 ， 则 很 可 能 会 被 另 -- 个 验证 过 程 发 现 。 

当然 ， 通 常会 有 很 多 关于 系统 可 依赖 性 和 安全 性 的 断言 。 一 个 断言 的 正确 性 通常 取决 于 
其 他 断言 是 否 是 正确 的 。 因 此 ， 断 言 可 能 被 组 织 成 层次 的 结构 。 图 15-9 表明 了 对 于 胰岛 素 泵 
断言 层次 结构 的 一 部 分 。 为 了 证 明 高 层 断 言 是 正确 的 ， 你 必须 先 通 过 对 低层 断言 的 论证 。 如 
果 你 可 以 说 明 每 一 低层 的 断言 都 是 正确 的 ， 那么 你 就 可 能 能 够 推断 出 较 高 层次 的 断言 也 是 正 


确 的 。 
RESENA] 
一 个 单一 的 不 安全 | 
的 胰岛 素 剂量 | 
当 泵 配置 完毕 时 | 
maxDose 值 得 到 | 
正确 设置 | 










由 软件 所 计算 出 的 | 对 胰岛 素 使 用 者 
单一 最 大 剂量 将 | 来 说 maxDose 是 
不 会 超过 maxDose 安全 剂量 | 


在 正确 操作 下 ,| 
所 计算 出 的 最 大 | 
剂量 不 会 超过 | 
maxDose 3 


图 15-9 ”一 个 胰岛 素 泵 的 安全 性 断言 层次 结构 








15. 5.2 结构 化 的 安全 性 论证 


结构 化 的 安全 性 论证 是 一 种 结构 化 的 论证 ， 说 明 一 个 程序 达到 了 它 的 安全 性 责任 。 在 安全 
性 论证 中 ， 并 不 需要 证 明 程 序 完全 符合 系统 描述 ， 只 需要 证 明 程序 的 执行 不 会 进入 不 安全 的 状 


”261 


262 . 


第 二 部 分 ”可 依赖 性 和 信息 安全 性 


态 。 这 就 意味 着 ， 安 全 性 论证 比 正确 性 论证 花费 更 少 。 你 不 需要 去 考虑 所 有 的 程序 状态 ， 可 以 仅 
仅 将 注意 力 集中 在 可 能 导致 故障 的 状态 上 。 

一 个 支持 系统 安全 性 方面 的 工作 的 一 般 假设 是 ， 能 导致 安全 性 要 求 极 高 系统 危险 的 系统 错 
误 数 自 远 远 小 于 系统 中 可 能 存在 的 总 的 错误 数目 。 安 全 性 保证 可 以 集中 于 这 些 有 潜在 危险 的 错 
误 。 如 果 它 能 够 证 明 这 些 错 误 不 可 能 发 生 ， 或 者 是 如 果 发 生 了 ， 相 关 的 危险 也 不 会 导致 系统 故 
障 ， 那 么 这 个 系统 就 是 安全 的 。 这 是 结构 化 的 安全 性 论证 的 基础 。 

结构 化 的 安全 性 论证 试图 证 明 ， 假 设 运行 环境 是 正常 的 ， 那 么 程序 应 当 是 安全 的 。 安 全 性 论 
证 通常 是 基于 矛盾 的 。 在 创建 安全 性 论证 过 程 中 包括 以 下 几 个 步骤 : 

1、 首先 假设 通过 危害 分 析 找 出 来 的 一 个 不 安全 状态 能 通过 程序 执行 而 到 达 。 

2， 写 一 个 谓词 (逻辑 天 达 式 〉 来 定义 此 不 安全 状态 。 

3. 然后 系统 地 分 析 系 统 模 型 或 程序 代码 ， 并 给 出 所 有 能 到 达 此 状态 的 程序 路 径 的 所 有 终止 
条 件 ， 证 明 这 些 路 径 的 终止 条 件 与 不 安全 状态 谓词 是 相 矛 盾 的 。 如 果 这 样 ， 对 不 安全 状态 的 初始 
假设 就 是 不 正确 的 。 

4. 如 果 这 个 证 明 过 程 对 所 有 识别 出 来 的 危险 都 逐个 使 用 过 ， 那 就 可 以 证 明 软 件 是 安 
全 的 。 

结构 化 的 安全 性 论证 可 以 应 用 在 不 同 的 水 平 上 上， 从 需求 到 设计 模型 再 到 程序 代码 。 在 
需求 水 平 上 ， 我 们 试图 证 明 没 有 遗漏 安全 性 需求 ， 并 且 需 求 没有 对 系统 做 出 无 效 的 假设 。 
在 设计 水 平 上 ， 我 们 可 能 去 分 析 一 个 系统 的 状态 模型 以 找 出 不 安全 状态 。 在 程序 代码 水 平 
E, 我 们 通过 安全 性 要 求 极 高 的 代码 来 考虑 所 有 的 路 径 ， 以 表明 会 导致 矛盾 的 出 现 所 有 执 
行路 径 。 

作为 一 个 例子 ， 我 们 来 看 图 15-10 中 给 出 的 胰岛 素 注射 系统 中 的 一 段 程序 代码 。 这 段 代码 计 
算出 要 注射 的 胰岛 素 的 剂量 ， 然 后 采用 一 些 安全 性 检查 来 降低 过 量 胰岛 素 被 注射 的 可 能 性 。 对 
这 段 代码 所 设计 的 安全 性 论证 需要 说 明 胰 岛 素 的 输入 剂量 不 会 超过 单个 剂量 的 上 限 水 平 。 这 是 
通过 每 个 糖尿 病 患者 和 他 们 的 医疗 顾问 相互 讨论 确定 下 来 的 。 
— The insulin dose to be delivered is a function of 


— blood sugar level, the previous dose delivered and 
— the time of delivery of the previous dose 


currentDose = computeInsulin () ; 








// Safety check-adjust currentDose if necessary. 






// if statement 1 
if (previousDose == 0) 






if (currentDose > maxDose/2) 
currentDose = maxDose/2 ; 







] 

else 
if (currentDose > (previousDose * 2) ) 

` currentDose = previousDose * 2 ; 








// if statement 2 





if ( currentDose € minimumDose ) 
currentDose = 0 ; 

else if ( currentDose > maxDose ) 
currentDose = maxDose ; 

administerInsulin (currentDose) ; 







图 15-10 ”有 安全 性 检查 的 胰岛 素 剂量 计算 
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为 了 证 明 安 全 性 ， 不 必 证 明 系 统 注射 了 正确 剂量 ， 只 要 它 没有 给 病人 注射 过 量 就 可 以 了 。 你 
的 工作 是 建立 在 假设 maxDose 对 于 系统 用 户 来 说 是 个 安全 水 平 的 基础 上 的 。 

为 了 构造 安全 性 论证 ， 要 找 出 一 个 定义 不 安全 状态 的 谓词 ， 这 里 是 currentDose > maxDose。 
接 下 来 就 是 要 证 明 所 有 的 程序 路 径 都 与 这 个 不 安全 断言 相 矛 盾 。 如 果 是 这 样 ， 这 个 不 安全 条 件 
就 不 可 能 是 真实 的 。 如 果 能 这 样 执行 ， 就 可 以 很 有 信心 地 说 程序 不 会 计算 出 不 安全 的 胰岛 素 剂 
量 。 你 可 以 以 图 形 的 形式 构造 和 表示 安全 性 论证 ， 如 图 15-11 所 示 。 


Overdose 
Administered 


Administerlnsulin 


currentDose> Pre-Condition 
maxDose for Unsafe State 





Contradiction 


currentDose >=minimumDose and 
currentDose<=maxDose 


Contradiction ‘ontradiction 
currentDose= 
Assign Assign 
f currentDose= 
If Statement 2 If Statement 2 
Then Branch Else Branch 
Executed Executed 


图 15-11 基于 矛盾 显示 的 非 形式 化 的 安全 性 论证 


为 了 构造 一 个 结构 化 的 论证 ， 使 一 个 程序 不 会 做 出 不 安全 的 计算 ， 首 先 要 通过 代码 确 
定 能 够 通 向 潜在 的 不 安全 状态 的 所 有 可 能 路 径 。 然 后 由 这 些 不 安全 状态 出 发 ， 反 向 地 工作 ， 
考虑 通 向 这 个 不 安全 状态 的 每 个 路 径 的 所 有 状态 变量 的 最 后 一 次 赋值 。 如 果 能 够 说 明 这 些 
变量 中 没有 一 个 赋值 是 不 安全 的 ,那么 就 表示 你 最 初 的 假设 (计算 是 不 安全 的 ) 是 不 正 
确 的 。 
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反 向 工作 很 重要 ， 因 为 它 表 示 你 能 够 忽略 所 有 的 其 他 状态 ， 只 考虑 通 向 代码 出 口 条 件 
的 那些 最 终 状 态 。 之 前 的 值 对 于 系统 的 安全 性 已 经 无 关 紧 要 。 在 这 个 例子 中 ， 所 有 需要 考 
虑 的 是 在 administerInsulin 方法 执行 之 前 的 对 currentDose 的 最 近 一 次 可 能 的 赋值 。 在 安全 性 
论证 中 你 可 以 忽略 一 些 计 算 ， 如 图 15-10 中 的 让 语句 1， 因 为 它们 的 结果 都 会 被 之 后 的 语句 
Br SE. 

图 15-11 中 所 示 的 这 个 安全 性 论证 中 ， 有 3 个 可 能 的 程序 路 径 可 以 引起 administerInsulin 方法 
调用 。 我 们 必须 说 明 所 传输 的 胰岛 素 的 数量 不 会 超过 maxDose。 所 有 到 达 administerInsulin 的 程序 
路 径 包括 : 

l. 这 语句 2 的 两 个 分 支 都 没有 执行 ， 这 个 情况 只 能 发 生 在 当 curentDose 大 于 或 等 于 mini- 
mumDose 和 小 于 或 等 于 maxDose 时 。 这 是 后 置 条 件 ， 即 在 语句 被 执行 过 后 是 正确 的 断言 。 

2. 这 语句 2 的 then 分 支 被 执行 。 这 时 对 currentDose 赋值 0 的 语句 执行 。 因 此 ， 它 的 后 置 条 
件 是 currentDose = 0。 

3. 过 语句 2 的 else -过 分 支 被 执行 ， 这 时 对 currentDose 赋值 maxDose 的 赋值 语句 得 到 执行 。 
因此 ， 在 这 条 语句 被 执行 后 ， 我 们 知道 后 置 条 件 是 currentDose = maxDose。 

在 所 有 的 情况 中 ， 后 置 条 件 都 与 不 安全 状态 的 前 置 条 件 (控制 的 数量 大 于 maxDose) 是 矛盾 
的 。 因 此 我 们 能 够 说 计算 是 安全 的 。 

结构 化 的 论证 在 证 明 系 统 某 种 信息 安全 性 特性 的 正确 性 时 ， 也 能 够 以 同样 的 方式 使 用 。 例 
如 ， 如 果 你 希望 说 明 一 个 计算 不 可 能 允许 对 正在 修改 中 的 资源 的 访问 ， 你 可 以 使 用 一 个 结构 化 
的 安全 性 论证 来 说 明 。 但 是 ,来 自 结构 化 论证 的 证 据 对 于 信息 安全 性 验证 来 说 不 那么 可 靠 。 这 是 
因为 存在 攻击 者 损坏 系统 代码 的 可 能 性 。 在 这 种 情况 下 ， 执 行 的 代码 已 经 不 是 你 之 前 所 声明 的 
安全 代码 了 。 


要 点 


ua 静态 分 析 是 V&V 的 一 种 检查 系统 源 代码 (或 其 他 表示 ) 的 方法 ， 查 找 错 误 和 异常 。 它 人 允 
许 程序 的 所 有 部 分 得 到 检查 ， 不 仅仅 是 那些 会 被 测试 到 的 部 分 。 

u 模型 检测 是 静态 分 析 的 一 种 形式 化 方法 ， 它 彻底 检查 系统 所 有 状态 以 发 现 潜在 的 
错误 。 

m 统计 性 测试 用 来 估计 软件 可 依赖 性 。 它 依赖 于 用 测试 数据 集 对 系统 的 测试 ， 这 个 测试 数据 
集 反映 软件 的 运行 概况 。 测 试 数据 有 时 是 可 以 自动 生成 的 。 

e 信息 安全 验证 是 有 困难 的 ， 因 为 信息 安全 需求 描述 在 系统 中 不 应 该 出 现 什么 ， 而 不 是 应 该 
出 现 什 么 。 而 且 ， 系 统 攻击 者 都 很 聪明 ， 并 且 可 能 比 安全 测试 人 员 有 更 多 的 时 间 来 探测 系 
统 弱点 。 

信息 安全 验证 可 以 使 用 基于 经 验 的 分 析 和 基于 工具 的 分 析 ， 或 者 采用 “老虎 小 组 ”来 模 
拟 攻击 系统 。 

a 有 一 个 定义 完好 的 并 经 过 认证 了 的 开发 过 程 对 安全 性 要 求 极 高 的 系统 开发 非常 重要 。 这 样 
的 过 程 一 定 要 包括 对 潜在 危险 的 查找 和 监控 。 

u 安全 和 可 依赖 性 案例 搜集 所 有 能 表明 系统 是 安全 和 可 靠 的 证 据 。 当 外 部 管理 部 门 在 系统 使 
用 前 对 系统 进行 验证 时 需要 用 到 这 些 安全 案例 。 

中 安全 性 案例 总 是 基于 结构 化 的 论证 。 结 构 化 的 安全 性 论证 说 明 一 个 识别 出 的 危险 条 
件 永远 不 会 发 生 ， 通 过 考虑 所 有 可 能 到 达 不 安全 条 件 的 程序 路 径 ， 说 明 这 个 条 件 不 
能 成 立 。 
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15.1 解释 一 下 在 要 求 极 高 软件 系统 开发 中 何 时 使 用 形式 化 措 述 和 检验 是 划算 的 。 以 及 你 为 什么 认为 要 求 
极 高 系统 的 工程 师 会 不 赞成 使 用 形式 化 方法 ? 

15.2 列 出 一 个 条 件 表 ， 其 中 的 条 件 是 能 够 被 Java, C++ 或 是 其 他 你 正在 使 用 的 编程 语言 的 一 个 静态 分 析 
器 所 发 现 。 对 比 图 152 给 出 的 表 ， 对 这 个 条 件 表 做 出 评论 。 

15.3 如果 可 依赖 性 描述 表示 为 系统 整个 生命 周期 中 的 非常 少量 失败 ， 解 释 为 什么 验证 这 样 的 可 依赖 性 实 
` 际 上 是 不 可 行 的 。 

15.4 解释 为 什么 保证 系统 可 依赖 性 不 能 确保 系统 的 信息 安全 性 。 

15.5 使 用 例子 解释 为 什么 信息 安全 性 测试 是 一 项 困难 的 过 程 。 

15.6 试 说 明 你 将 如 何 验 证 所 开发 的 应 用 中 的 口令 保护 系统 ， 解 释 任 何 你 认为 有 用 的 工具 的 功能 。 

15.7 MHC-PMS 应 对 可 能 透露 机 密 的 病人 信息 的 攻击 时 必须 保证 安全 。 这 样 的 攻击 在 第 14 章 中 讨论 过 。 
利用 这 些 信息 ， 对 图 15-5 的 检查 表 进 行 扩展 ， 用 来 对 MHC-PMS 的 测试 者 给 予 指导 。 

15.8 列 出 需要 系统 软件 安全 案例 的 4 种 系统 类 型 。 解 释 为 什么 需要 安全 案例 。 

15.9 ” 核 废料 储存 设施 中 的 门 锁 控制 机 制 是 为 了 安全 操作 。 它 能 保证 只 有 当 在 辆 射 防护 单 保 护 的 情况 下 或 
辐射 水 平 降低 到 一 给 定 值 ERKE) 的 情况 下 方 可 进入 ， 这 就 是 说 ; 
Ci) 远程 控制 的 辐射 防护 四 安装 在 房间 里 面 ， 门 可 以 由 经 认可 的 操作 人 员 开 启 。 
GD 如 果 房 间 里 的 辐射 水 平 低 于 给 定数 值 ， 门 可 以 由 经 认可 的 操作 人 员 开启 。 
(iti) 经 认可 的 操作 人 员 是 通过 输入 授权 的 人 口 密码 确认 的 。 
在 图 15-12 中 给 出 的 代码 是 用 来 控制 门 锁 机 制 的 程序 自 。 注 意 这 里 安全 状态 是 人 口 不 应 该 准 进 人 。 
使 用 在 15.5. 2 节 中 讨论 的 方法 ， 给 出 此 代码 的 一 个 安全 论证 。 使 用 行 数 指定 特定 的 语句 。 如 果 你 发 
现代 码 是 不 安全 的 ， 对 如 何 修改 该 代码 使 之 安全 给 出 建议 。 | 

15.10. ”假设 你 是 某 化 工厂 软件 开发 团队 中 的 一 员 。 此 软件 发 生 了 失败 ， 导 致 了 严重 的 污染 事故 。 你 的 老板 
接受 了 电视 台 的 采访 ， 并 声称 软件 的 验证 过 程 是 全 面 详尽 的 ， 在 软件 中 不 存在 缺陷 。 她 断言 问题 一 
定 出 在 不 好 的 操作 流程 上 。 有 一 家 报纸 希望 得 到 你 对 事故 的 观点 。 讨 论 你 如 何 处 理 这 样 的 一 次 
采访 。 
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entryCode = lock.getEntryCode () ; 
if (entryCode == lock.authorizedCode) 
( 
shieldStatus = Shield.getStatus (); 
radiationLevel = RadSensor.get (): 
if (radiationLevel < dangerLevel) 
state = safe; 
else 
state = unsafe; 
if (shieldStatus == Shield.inPlace() ) 
state = safe; 
if (state — safe) 
( 


Door.locked = false ; 
Door.unlock (); 


Door.lock ( 5: 
Door.locked :- true ; 





图 15-12 门禁 代码 
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以 “高 级 软件 工程 ”作为 本 部 分 的 题目 ， 是 因为 读者 必须 了 解 第 1 章 到 
第 9 章 的 基本 原理 方 可 深入 学 习 本 部 分 的 内 容 。 在 这 一 部 分 中 讨论 的 很 多 话题 
反映 的 是 在 开发 分 布 式 系统 和 实时 系统 过 程 中 的 产业 软件 工程 实践 。 

软件 复 用 目前 已 经 变 成 一 种 对 于 基于 Web 的 信息 系统 和 企业 系统 的 最 
重要 的 开发 范 型 。 最 为 常用 的 复 用 方法 是 COTS 复 用 ， 即 为 满足 机 构 的 需要 
通过 对 大 型 系统 的 配置 而 很 少 或 基本 没有 任何 源 代码 开发 的 软件 构造 。 第 
16 章 将 介绍 复 用 的 一 般 话 题 ， 并 着 重 介 绍 COTS 系统 复 用 。 

第 17 章 仍然 是 关于 软件 复 用 ， 但 主要 介绍 组 件 的 复 用 而 不 是 整个 系统 
的 复 用 。 基 于 组 件 的 软件 工程 是 组 件 组 合 的 过 程 ， 通 过 新 代码 的 开发 将 可 复 
用 的 组 件 集成 在 一 起 。 在 这 一 章 中 ， 解 释 组 件 的 内 洱 和 外 延 ， 解 释 为 什么 需 
要 标准 的 组 件 模型 来 有 效 地 进行 组 件 复 用 ， 还 讨论 基于 组 件 的 软件 工程 的 一 
般 过 程 以 及 组 件 组 合 中 会 出 现 的 问题 。 

现在 绝 大 多 数 的 大 型 系统 都 是 分 布 式 系统 ， 第 18 章 介 绍 构建 分 布 式 系 
oia diu er A Ser 本 章 介绍 基础 性 的 分 布 式 系统 工程 的 范 
客户 机 - 服务 器 方法 ， 解 释 实现 体系 结构 风格 的 各 种 方式 。 这 一 章 最 
SO EIE IR 即 提供 软件 作为 分 布 式 应 用 服务 将 会 怎样 彻底 
地 改变 软件 产品 的 市 场 。 

第 19 章 介绍 面向 服务 的 体系 结构 相关 话题 ， 将 分 布 和 复 用 两 个 重要 概 
念 联系 起 来 。 服 务 是 可 复 用 的 软件 组 件 ， 它 的 功能 可 以 通过 互联 网 访问 并 对 
广大 客户 开放 。 在 这 一 章 中 ， 还 解释 在 创建 服务 (服务 工程 ) 和 组 合 服务 
以 创建 一 个 新 软件 系统 过 程 中 所 需要 的 一 些 活动 。 

嵌入 式 系统 是 软件 系统 最 为 广泛 使 用 的 实例 。 第 20 章 将 覆盖 此 重要 话题 。 
本 章 介绍 实时 嵌入 式 系统 的 思想 ， 2 HBOR 3 个 使 用 在 嵌 人 式 系统 设计 中 的 体系 结 
构 模式 ， 然 后 解释 时 序 分 析 过 程 ， 给 出 实时 操作 系统 的 讨论 并 总 结 本 章 内 容 。 

最 后 ， 第 21 章 讲解 面向 方面 的 软件 开发 (AOSD ) AOSD 也 是 与 复 用 相 
关 ， 基 于 -方面 (aspect) 这 个 概念 ， 提 出 一 种 新 的 组 织 和 构造 软件 系统 的 方 
法 。 尽管 它 今天 还 远 没有 成 为 软件 工程 的 主流 技术 ，AOSD 具有 巨大 潜力 ， 
会 在 未 来 对 改善 我 们 目前 的 软件 实现 方法 起 到 重要 的 推动 作用 。 
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Hif 

本 章 的 目标 是 介绍 软件 复 用 ， 以 及 以 大 规模 系统 复 用 为 基础 的 系统 开发 方法 。 读 完 本 章 ， 你 
将 了 解 到 以 下 内 容 : 

了解 在 开发 新 系统 时 复 用 软件 的 好 处 以 及 在 复 用 中 可 能 出 现 的 一 些 问题 ; 

n 了 解 应 用 框架 作为 一 个 可 复 用 对 象 集合 的 概念 ， 以 及 在 应 用 开发 中 如 何 使 用 应 用 框架 ; 

u 介绍 由 通用 内 核 体系 结构 以 及 可 配置 可 复 用 组 件 所 构成 的 软件 产品 线 ; 

m 掌握 通过 配置 和 组 合 商业 现货 应 用 软件 系统 来 开发 系统 的 方法 。 

基于 复 用 的 软件 工程 是 一 个 软件 工程 策略 ， 使 开发 过 程 适应 对 现存 软件 的 复 用 。 尽 管 复 用 
作为 一 种 开发 策略 已 经 提出 40 多 年 《Mellroy，1968 ) ,但 是 只 是 从 2000 年 以 来 ， 复 用 开发 才 变 
成 新 商业 系统 的 规范 。 这 种 向 基于 复 用 的 开发 方式 的 转变 是 为 了 降低 软件 产品 和 维护 的 成 本 ， 
更 快 地 交付 系统 ， 以 及 提高 软件 质量 。 越 来 越 多 的 公司 将 其 软件 看 成 是 一 种 有 价值 的 资产 。 他 们 
希望 提升 复 用 水 平 来 增加 他 们 在 软件 上 投资 的 回报 。 

可 复 用 软件 方法 使 开发 软件 变 得 越 来 越 容易 。 开 源 运动 意味 着 有 一 个 低 价 提供 的 巨大 的 可 
重复 使 用 的 代码 库 。 这 些 可 重复 使 用 的 代码 可 能 是 以 程序 库 或 整个 应 用 程序 的 形式 来 复 用 。 有 
许多 特定 领域 的 应 用 系统 通过 裁剪 来 满足 一 个 特定 公司 的 需要 。 一些 大 公司 为 他 们 的 客户 提供 
一 系列 的 复 用 组 件 。 标 准 ， 比 如 Web 服务 标准 ， 使 得 在 多 种 应 用 范围 里 开发 通用 服务 和 再 利用 
它们 变 得 越 来 越 容易 了 。 

以 复 用 为 基础 的 软件 工程 是 一 种 开发 方法 论 ， 其 目标 是 最 大 化 地 复 用 现存 软件 。 被 重复 使 
用 的 软件 会 有 截然 不 同 的 规模 。 举 例 来 说 : 

1. 应 用 系统 复 用 ”整个 系统 可 以 通过 不 改变 地 融合 到 其 他 系统 当中 得 以 复 用 或 是 通过 为 不 
同 的 客户 配置 应 用 。 或 者 是 通过 开发 具有 共同 体系 结构 的 应 用 族 ， 而 对 专业 客户 进行 特殊 裁剪 
实现 。 本 章 稍 后 将 介绍 应 用 系统 复 用 。 

2 组件 复 用 ”应 用 系统 的 组 件 规模 从 子 系统 到 单个 对 象 都 可 以 复 用 。 举 例 来 说 ， 作 为 文本 
处 理 系统 的 一 部 分 的 模式 匹配 系统 可 以 复 用 到 数据 库 管理 系统 中 。 第 17 章 和 第 19 章 将 讲述 组 件 
复 用 。 

3. 对象 和 函数 复 用 ”实现 一 个 单一 功能 的 软件 组 件 ， 例 如 数学 函数 ， 或 者 是 一 个 对 象 类 ， 
可 以 重复 使 用 。 这 种 基于 标准 函数 库 的 复 用 形式 已 经 广泛 使 用 了 40 年 。 很 多 函数 库 和 类 库 都 可 
以 免费 获得 。 你 可 以 通过 连接 新 开发 的 应 用 程序 代码 来 使 用 库 中 的 函数 和 类 。 在 数学 算法 和 图 
形 这些 领 域 ， 需 要 十 分 专业 的 知识 来 开发 高 效率 的 对 象 和 函数 ， 对 象 和 函数 复 用 是 尤其 奏效 的 
方法 。 

软件 系统 和 组 件 是 很 有 潜力 的 可 复 用 实体 ， 但 是 它们 的 特殊 性 质 有 时 意味 着 为 一 个 新 情况 
修改 它们 代价 是 很 大 的 。 对 它 的 一 个 补救 形式 是 所 谓 的 “概念 复 用 ”， 它 不 是 复 用 一 个 软件 组 
件 ， 而 是 重复 使 用 一 个 思想 、 一 个 方法 、 一 个 操作 或 一 个 算法 。 复 用 的 概念 代表 一 个 抽象 的 概念 
(例如 ， 一 个 系统 模型 ) ， 其 中 不 包括 实现 细节 。 因 此 针对 一 系列 的 情形 ， 可 以 对 它 进 行 配置 和 
调整 。 概 念 复 用 可 以 嵌入 在 设计 模式 、 可 配置 系统 产品 以 及 程序 生成 器 等 这 样 的 方法 中 。 在 复 用 
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概念 时 ， 其 复 用 过 程 包括 -- 个 活动 ， 在 这 个 活动 中 抽象 概念 被 实例 化 来 生成 可 执行 的 复 用 组 件 。 

软件 复 用 的 一 个 明显 好 处 是 总 体 开发 成 本 得 到 降低 。 需 要 定义 、 设 计 、 实 现 和 有 效 性 验证 的 
软件 组 件数 目 减少 了 。 不 过 ， 成 本 缩减 只 是 复 用 的 好 处 之 一 。 其 他 一 些 复 用 软件 的 好 处 如 图 16-1 
所 示 。 


增加 可 靠 性 
降低 过 程 风险 


专家 的 有 效 使 用 













在 运行 着 的 系统 中 实际 使 用 的 组 件 要 比 一 个 新 组 件 的 可 靠 性 高 。 它 们 可 能 已 经 得 到 
了 各 种 环境 的 实际 使 用 和 测试 。 在 最 初 的 组 件 使 用 当中 组 件 在 设计 和 实现 上 的 缺陷 都 
已 经 暴露 出 来 了 ， 并 得 到 了 修正 ， 因 而 组 件 在 复 用 时 的 失败 数 是 下 降 的 


如 果 组 件 已 经 存在 ， 复 用 组 件 的 成 本 不 确定 性 较 之 开发 成 本 的 不 确定 性 减少 ， 这 是 
项 目 管理 当中 的 一 项 重要 因素 ， 因 为 这 降低 了 项 目 成 本 估计 当中 的 不 确定 性 。 在 有 相 
对 来 讲 大 规模 的 组 件 〈 如 ， 子 系统 复 用 ) 时 这 一 点 更 明显 


不 用 专家 在 不 同 项 目 中 做 重复 的 工作 ， 而 是 让 他 们 开发 可 复 用 的 组 件 ， 用 这 些 组 件 
来 封装 他 们 的 知识 


有 些 标准 ， 如 用 户 界面 标准 ， 可 以 实现 为 一 组 标准 组 件 。 例 如 ， 可 以 将 用 户 界面 中 的 
菜单 实现 为 一 个 可 复 用 组 件 。 所 有 的 应 用 都 以 相同 的 菜单 格式 呈现 在 用 户 面前 。 使 用 标 
准 用 户 界面 增强 了 可 靠 性 ， 因 为 用 户 面 对 相 同 的 用 户 界面 ， 出 现 错误 的 可 能 性 降低 


尽快 让 系统 走向 市 场 要 比 总 开发 成 本 更 重要 。 复 用 组 件 加 速 了 系统 产品 的 形成 ， 因 
为 无 论 开发 还 是 有 效 性 验证 时 间 都 缩短 了 









































16-1 软件 复 用 的 优势 


然而 ， 复 用 会 产生 成 本 也 会 出 现 特殊 的 问题 ( 见 图 162)。 了 和 解 是 否 组 件 对 于 某 个 特殊 情形 
是 适合 复 用 的 ， 以 及 在 对 组 件 进行 测试 以 确保 它 的 可 靠 性 时 会 产生 可 观 的 成 本 。 这 些 额 外 的 成 
本 意味 着 通过 复 用 总 的 开发 成 本 的 降低 不 会 像 人 们 所 期 待 的 那么 多 。 












如 果 组 件 的 源 代码 是 不 可 得 的 ， 那 么 维护 成 本 将 要 增加 ， 因 为 随 着 系统 变更 ， 系 
统 中 复 用 成 分 的 不 相 容 性 在 增加 


增加 维护 成 本 
RIIAXA CASE 工具 集 没有 对 复 用 的 支持 ， 将 这 些 工具 与 组 件 库 系统 集成 是 困难 甚至 是 不 
可 能 的 。 由 这 些 工具 承担 的 软件 过 程 没有 将 复 用 考虑 在 内 


孤芳自赏 有 些 软件 人 员 有 时 更 愿意 重新 写 一 个 组 件 ， 因 为 他 们 相信 他 们 能 改善 可 复 用 组 件 。 
一 方面 是 源 于 信任 因素 ， 另 一 方面 重 写 软件 更 具 挑战 性 


创建 维护 和 使 用 一 | 填充 组 件 库 并 保证 软件 人 员 能 使 用 这 个 库 是 很 费 钱 的 。 要 调整 开发 过 程 的 保证 组 
个 组 件 库 件 库 可 用 


查找 、 理 解 和 改编 | 。 软 件 组 件 必须 从 库 中 找 出 来 、 理 解 、 有 时 还 党 要 作 些 调整 使 之 适应 当前 的 环境 。 
; 软件 工程 人 员 对 在 库 中 找到 组 件 应 该 有 合理 的 自信 ， 然 后 才能 将 找 组 件 纳入 正常 开 
可 重用 组 件 Rm 




















图 16-2 复 用 的 问题 


正如 第 2 章 讨论 过 的 ， 软 件 开发 过 程 必须 调整 以 适应 复 用 。 特 别 是 ， 必 须 有 一 个 需求 细 化 阶 
段 ， 即 对 该 系统 的 需求 进行 修改 ， 以 反映 可 以 得 到 的 可 复 用 软件 。 该 系统 的 设计 和 实现 阶段 ， 可 
能 还 包括 明确 的 活动 ， 以 寻找 和 评估 备用 的 可 复 用 组 件 。 

当 我 们 有 计划 地 将 软件 复 用 作为 一 个 机 构 范围 的 复 用 计划 的 一 部 分 时 ， 软 件 复 用 是 最 有 效 
的 。 一 个 复 用 计划 包括 可 复 用 资源 的 创建 ， 以 及 把 这 些 资源 合并 到 新 的 软件 中 的 开发 过 程 的 调 
整 。 在 日 本 人 们 认识 到 复 用 计划 的 重要 性 已 经 有 很 多 年 了 (Matsumoto，1984) ， 复 用 是 日 本 的 软 
件 开发 的 “工厂 ”方法 的 一 个 重要 组 成 部 分 (Cusamano，1989) 。 像 Hewlett-Packard 这 样 的 公司 
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也 已 经 在 他 们 的 复 用 计划 上 非常 成 功 了 (Griss 和 Wosser，1995) ， 他 们 的 经 验 已 经 被 Jacobsen 等 
(Jacobsen 等 ，1997) 记录 在 书 中 了 。 


16.1 SARK 

在 过 去 的 20 年 闻 ， 出 现 了 很 多 支持 软件 复 用 的 技术 。 这 些 技术 都 利用 了 这 样 的 事实 ， 即 在 
同一 个 应 用 领域 中 的 系统 是 相似 的 ， 有 可 复 用 的 潜在 可 能 ; 从 简单 函数 到 完整 应 用 ， 复 用 可 以 在 
不 同 的 层面 上 进行 ;可 复 用 组 件 的 标准 将 推动 复 用 。 图 16-3 提出 了 实现 软件 复 用 的 多 种 可 能 的 
方法 ， 针 对 每 一 种 方法 ， 将 在 16. 4 节 中 做 简要 的 介绍 。 







体系 结构 模式 





设计 模式 








应 用 框架 ”软件 产品 线 “商业 现货 系统 企业 资源 规划 
(COTS) 集 成 (ERP) 系 统 


可 配置 垂直 应 用 遗留 系统 包装 
基于 组 件 的 开发 模型 驱动 工程 ”面向 服务 的 系统 


















面向 方面 的 
软件 开发 程序 生成 器 程序 库 





图 16-3 复 用 概览 


有 了 这 一 系列 的 复 用 技术 后 ， 关 键 性 的 问题 是 “在 一 个 特定 的 情形 中 哪 种 技术 是 最 为 恰当 
的 呢 ?” 显 然 ， 这 依赖 于 所 要 开发 的 系统 的 需求 、 所 拥有 的 技术 和 可 复 用 的 资产 、 开 发 团队 的 专 
业 知 识 等 。 在 规划 复 用 时 需要 考虑 的 关键 因素 是 : 

L 软件 的 开发 进度 表 ”如 果 软 件 需 要 快速 开发 ， 你 就 应 该 努力 复 用 现成 系统 而 不 是 对 单个 
组 件 复 用 。 这 是 大 粒度 可 复 用 资产 。 尽 管 这 可 能 对 于 需求 来 说 不 是 太 合适 的 ， 但 该 方法 能 最 小 化 
开发 工作 量 。 

2. 所 预计 的 软件 生命 期 ”如果 你 所 开发 的 系统 是 长 生命 期 系统 ， 你 应 该 主要 关注 系统 的 可 
维护 性 。 你 不 要 仅 考 虑 眼前 的 复 用 的 好 处 ， 而 是 要 考虑 长 期 影响 。 在 它 的 整个 生命 周期 中 ， 你 将 
必须 修改 系统 使 之 适应 新 需求 ， 这 意味 着 需要 改变 部 分 系统 。 如 果 你 不 能 够 得 到 源 代 码 的 话 ， 那 
就 要 避免 使 用 外 部 供应 商 所 提供 的 现成 的 组 件 和 系统 ， 供应 商 可 能 不 会 持续 地 对 所 复 用 软件 给 
FR. 

3 开发 团队 的 背景 、 技 术 和 经 验 ”所 有 的 复 用 技术 都 相当 复杂 ， 需 要 很 多 时 间 来 理解 和 有 
效 地 使 用 。 因 此 ， 如 果 开 发 团队 在 某 个 特别 领域 有 专长 ， 那 这 就 是 我 们 应 该 集中 注意 力 的 地 方 。 

4. 软件 的 危险 程度 和 它 的 非 功能 性 需求 ”对 于 要 求 极 高 的 一 类 系统 ， 它 们 需要 外 部 管理 者 
的 认证 ， 你 可 能 必须 创建 系统 的 可 靠 性 用 例 (在 第 15 章 中 介绍 过 ) 。 如 果 你 不 能 够 得 到 软件 的 
源 代 码 的 话 ， 那 这 将 是 非常 困难 的 。 如 果 你 的 软件 有 苛刻 的 性 能 要 求 ， 像 基于 生成 器 的 复 用 策略 
就 不 太 可 能 使 用 ， 在 生成 器 复 用 中 ， 你 可 以 从 一 个 可 复 用 的 系统 领域 专门 表示 中 生成 代码 。 这 些 
系统 会 生成 相当 低 效 的 代码 。 

5. 应 用 领域 在 某 些 应 用 领域 ， 例 如 制造 和 医药 信息 系统 ， 有 多 个 一 般 产品 ， 可 以 通过 对 
它们 轨 新 配置 来 复 用 它们 使 之 适应 自己 的 要 求 。 如 果 在 这 些 领域 中 工作 ， 那 就 应 该 考虑 这 些 
选择 。 

6. 系统 运行 的 平台 和 多 组 件 模型， 例如 ， . NET 是 Microsoft 平台 专用 的 。 同 样 地 ， 一 般 性 
的 应 用 系统 是 平台 相关 的 ， 你 只 能 使 用 那些 与 你 的 系统 所 在 平台 相 一 致 平台 上 的 组 件 。 
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支持 普通 应 用 系统 类 型 的 标准 软件 体系 结构 用 作 应 用 程序 的 基础 。 详 细 描述 在 第 
6. 13, 20 章 


将 应 用 间 所 发 生 的 一 般 抽 象 表示 为 设计 模式 ， 这 些 设计 模式 给 出 了 抽象 和 具体 的 
对 象 和 交互 。 详 细 描 述 在 第 7 章 


通过 集成 符合 组 件 模型 标准 的 组 件 (RRA) 来 开发 系统 。 详 细 描述 在 第 
17 章 










体系 架构 模式 








设计 模式 














基于 组 件 的 开发 


遗留 系统 《参见 第 9 章 ) 是 可 以 通过 包装 被 复 用 的 ， 这 种 包装 是 通过 定义 一 组 接 
口 和 提供 通过 这 些 接口 来 访问 这 些 跟 系统 的 能 力 来 实现 的 

系统 通过 连接 可 能 来 自 外 部 的 共享 服务 而 建立 。 详 细 揣 述 在 第 19 章 

将 某 个 应 用 类 型 在 一 个 共同 体系 结构 上 做 泛 化 ， 使 之 可 以 适应 不 同 的 客户 


系统 通过 集成 已 有 的 应 用 系统 而 实现 


为 一 个 机 构 所 开发 的 一 个 大 型 系统 ， 封 装 了 一 般 业 务 功能 和 规则 。 
可 配置 垂直 应 用 | 通用 系统 的 设计 可 以 经 过 再 配置 以 达到 特殊 系统 客户 的 需要 
第 5 章 


程序 库 实现 通常 使 用 的 抽象 的 类 和 函数 库 对 复 用 是 有 用 的 
| 模型 驱动 工程 
程序 生成 器 生成 器 系统 嵌入 一 种 应 用 类 型 的 知识 ,从 用 户 提供 的 模型 来 生成 该 领域 中 的 系统 


软件 是 表示 为 领域 模型 和 独立 于 实现 的 模型 ， 代 码 产 生 于 这 些 模 型 。 详 细 描 述 在 
5 
面向 方面 的 软件 开发 | 在 编译 程序 的 时 候 将 共享 组 件 编织 到 应 用 的 不 同位 置 。 详 细 措 述 在 第 21 章 
























































图 16-4 支持 软件 复 用 的 方法 


© 基于 生成 器 的 复 用 


生成 器 的 复 用 包括 把 复 用 概念 和 知识 纳入 自动 化 工具 ， 以 及 向 工具 的 使 用 者 提供 一 个 简 
单 的 方法 去 整合 特有 的 代码 和 这 个 一 般 的 知识 。 这 个 方法 在 特定 领域 应 用 中 通常 是 最 有 效 的 。 
在 那个 领域 ， 已 知 的 解决 问题 的 方法 是 谨 入 在 生成 器 系统 中 ， 然 后 用 户 选 择 它 来 创造 一 个 新 
的 系统 。 

http://www. SoftwareEngineering-9. com/ Web/ Reuse/ Generator. html 


关于 复 用 技术 的 可 用 情况 ， 在 绝 大 多 数 情况 下 ， 就 是 指 一 些 软件 复 用 的 可 能 性 。 是 否 复 用 在 
很 大 程度 上 是 管理 问题 而 不 是 技术 问题 。 管 理 者 可 能 不 愿 在 需求 和 软件 复 用 之 间 妥 协 。 他 们 可 
能 不 了 解 复 用 相关 的 风险 ， 而 了 解 本 来 的 开发 方式 的 风险 。 新 的 软件 开发 的 风险 可 能 很 高 ， 管 理 
者 也 情意 去 选择 了 解 的 方式 而 不 愿 去 承担 不 了 解 的 风险 。 


16.2 应 用 框架 


早期 热衷 于 面向 对 象 开发 的 人 认为 使 用 面向 对 象 方法 的 主要 好 处 之 一 就 是 在 不 同 的 系统 中 
对 象 可 以 被 重复 使 用 。 然 而 ， 如 前 面 一 节 中 所 说 的 那样 ， 对 象 通常 粒度 太 小 ， 而 且 是 面向 一 个 特 
别 应 用 的 。 比 起 重新 实现 这 个 对 象 ， 它 需要 更 长 的 时 间 来 了 解 和 适应 它 。 现 在 已 经 很 清楚 的 一 点 
是 ， 复 用 在 使 用 称 之 为 框架 的 大 粒度 抽象 的 面向 对 象 开发 过 程 中 得 到 了 最 好 的 支持 。 

如 名 字 所 示 ， 框 架 是 一 个 一 般 化 的 结构 ， 通 过 对 它 的 扩展 来 创建 更 专门 的 子 系统 和 应 用 。 
Schmidt 等 《2004) 如 下 定义 框架 : 
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“…… 一 个 软件 人 造物 的 完整 集合 〈( 人 造物 如 类 、 对 象 和 组 件 ) ， 它 们 共同 提供 一 个 面向 一 
系列 相关 应 用 的 可 复 用 的 体系 结构 。” 

框架 对 一 般 功能 提供 支持 ， 在 所 有 相似 类 型 的 应 用 中 ， 一 - 般 功能 很 可 能 被 使 用 。 例 如 ， 一 个 
用 户 界面 框架 可 提供 事件 处 理 的 接口 支持 ， 以 及 包括 一 个 可 以 用 来 构造 显示 的 小 部 件 集 。 然 后 
开发 人 员 专门 为 特定 的 应 用 加 入 这 些 特定 功能 。 例 如 ， 在 一 个 用 户 界面 框架 中 ， 开 发 人 员 定 义 了 
显示 布局 ， 而 这 个 布局 是 适 于 正在 执行 中 的 应 用 程序 的 。 

框架 支持 设计 复 用 ， 因 为 它们 为 应 用 程序 和 具体 类 在 系统 中 的 复 用 提供 骨架 结构 。 这 个 结 
构 是 由 对 象 类 和 它们 之 间 的 交互 来 定义 的 。 类 可 以 直接 被 复 用 ， 也 可 以 利用 诸如 继承 特性 来 扩 
展 类 。 

框架 实现 为 用 一 个 面向 对 象 编程 语言 写 的 一 个 具体 的 和 抽象 的 对 象 类 的 集合 。 因 此 ， 框 架 
是 具体 的 语言 。 在 所 有 经 常 使 用 的 面向 对 象 程序 语言 中 ， 都 有 可 用 的 框架 《例如 ，Java、C#、 
C ++ 和 诸如 Ruby 和 Python 动态 语言 )。 一 个 框架 可 以 包含 几 个 其 他 的 框架 ， 这 里 的 每 一 个 框架 
都 支持 应 用 程序 的 一 部 分 开发 。 你 可 以 使 用 一 个 框架 创造 一 个 完整 的 应 用 程序 或 实现 应 用 程序 
的 一 部 分 ， 例 如 图 形 用 户 界面 。 

Fayad 和 Schmidt (1997) 讨论 了 3 种 类 型 的 框架 : 

1 系统 基础 设施 框架 ”这 些 框架 支持 系统 基础 设施 的 开发 ， 这 些 基础 设施 包括 通信 、 用 户 
界面 和 编译 器 (Schmidt, 1997) 。 

2. 中 间 件 集成 框架 ”这些 框架 是 由 一 组 支持 组 件 通 信和 信息 交换 的 标准 和 相关 对 象 类 构成 
的 。 这 种 类 型 框架 的 例子 包括 Microsoft 的 . NET 和 Java 中 的 商业 应 用 组 件 技术 (EJB)。 这 些 框 
架 提供 对 标准 化 的 组 件 模型 的 支持 ， 如 在 第 17 章 所 讨论 的 。 

3. 企业 应 用 框架 ”这 些 框架 所 关心 的 是 专门 的 应 用 领域 ， 如 通信 或 金融 系统 (Baumer 等 ， 
1997) 。 这 些 框架 嵌入 了 应 用 领域 知识 并 支持 对 最 终 用 户 应 用 的 开发 。 

Web 应 用 框架 (WAFs) 是 一 个 较 新 的 和 非常 重要 的 框架 类 型 。WAFs 支持 动态 网 站 的 创建， 
所 以 现在 已 广泛 使 用 。 一 个 WAFs 的 架构 通常 是 以 模型 - 视图 - 控制 器 (MVC) 复合 模式 为 基 
础 的 ， 如 图 16-5 所 示 。 





图 16-5 模型 - 视图 - 控制 器 模式 


这 个 MVC 模式 最 初 是 在 20 世纪 80 年 代 提 出 来 的 。 作 为 一 种 GUI 设计 方法 ， 它 一 是 允许 对 
象 的 多 个 表示 形式 的 存在 ， 二 是 允许 对 这 些 不 同 表示 形态 的 对 象 采用 不 同 风格 的 交互 形式 。 它 
允许 从 用 户 接口 到 应 用 的 应 用 程序 状态 的 分 离 。 一 个 MVC 框架 支持 数据 表示 的 不 同方 式 以 及 人 允 
许 和 每 个 表示 进行 交互 。 当 数据 在 其 中 一 个 表示 法 中 被 修改 时 ， 系 统 模式 也 被 修改 ， 与 每 个 视图 
相关 的 控制 器 更 新 它们 的 表示 法 。 

框架 通常 是 设计 模式 的 实现 ， 正 如 第 7 章 所 讨论 的 那样 。 举 例 来 说 ， 一 个 MVC 框架 包括 观 
察 者 模式 、 策 略 模 式 、 组 合 模式 以 及 其 他 多 个 模式 。 这 些 模式 的 介绍 可 以 参考 Camma 等 的 著作 
(1995) 。 模 式 的 一 般 性 质 ， 以 及 它们 对 抽象 和 具体 类 的 使 用 允许 它们 具有 扩展 性 。 如 果 没 有 模 
式 ， 几 乎 可 以 肯定 框架 是 不 切实 际 的 。 
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Web 应 用 框架 通常 包括 一 个 或 多 个 支持 特定 应 用 功能 的 专业 框架 。 昌 然 每 个 框架 包括 稍 有 
不 同 的 功能 ， 大 多 数 Web 应 用 程序 框架 支持 以 下 功能 : 

|. 安全 性 ”Web 应 用 框架 可 能 包括 这 样 的 类 ， 以 帮助 实现 用 户 认 证 和 访问 控制 ， 以 确保 用 
户 只 能 访问 允许 在 系统 中 的 功能 。 

2. 动态 页 面 ”提供 的 这 些 类 来 帮助 你 定义 网 页 模板 并 且 利 用 从 系统 数据 库 中 得 到 的 特定 数 
据 动 态 地 填充 页 面 。 

3. 数据 库 支持 ”框架 通常 不 包括 数据 库 ， 而 是 假设 一 个 单独 的 数据 库 (例如 MySQL) 在 使 
用 。 框 架 可 以 提供 给 不 同 的 数据 库 提供 虚拟 接口 的 类 。 

4. 会 话 管理 ”创建 和 管理 会 话 (大量 的 用 户 和 系统 的 交互 ) 的 类 通常 是 WAF 的 一 部 分 。 

5 用 户 交互 ”现在 大 多 数 Web 框架 提供 AJAX 支持 (Holdener, 2008), ， 人 允许 更 多 的 交互 网 
页 的 创建 。 

扩展 一 个 框架 ， 不 需要 改变 框架 代码 ， 而 是 要 增加 具体 的 类 来 继承 框架 中 抽象 类 中 的 操作 。 
除 此 之 外 ， 回 调 函 数 可 能 需要 定义 。 这 些 方法 的 调用 是 对 框架 识别 事件 的 响应 。Schmidt 等 人 
(2004) 称 之 为 “控制 反 转 ” 。 这 些 框 架 对 象 ， 而 不 是 应 用 专门 的 对 象 ， 在 系统 中 负责 控制 。 为 
了 响应 用 户 接口 、 数 据 库 等 事件 ， 这 些 框架 对 象 调用 “钩子 方法 "， 然 后 将 之 连接 到 用 户 提供 的 
功能 。 具 体 应 用 程序 的 功能 则 以 一 种 恰当 的 方式 响应 这 个 事件 (如 图 16-6 所 示 ) 。 比 如 , 一 个 框 
架 中 有 一 个 方法 来 控制 环境 中 的 鼠标 点 击 事件 。 这 个 方法 调用 钩子 方法 ， 你 必须 配置 这 个 方法 
来 调用 相应 的 应 用 程序 的 方法 来 处 理 鼠 标点 击 。 





事件 
m O] 


图 16-6 框架 中 的 控制 反 转 


使 用 框架 来 构造 的 应 用 是 采用 应 用 系列 概念 进行 进一步 复 用 的 基础 ， 因 为 这 些 应 用 是 使 用 
框架 构造 的 ， 修 改 系列 成 员 以 产生 新 的 系统 实例 经 常 是 一 个 简单 的 过 程 。 它 涉及 重 写 添加 到 框 
架 里 的 具体 的 类 和 方法 。 

然而 ， 框 架 通常 要 比 软件 产品 线 更 具有 一 般 性 ， 软 件 产品 线 着 重 于 应 用 系统 的 具体 类 别 。 比 
如 ， 你 可 以 使 用 基于 Web 的 框架 来 构建 基于 Web 的 应 用 程序 的 不 同类 型 。 其 中 ， 可 能 是 一 个 软 
件 产 品 线 ， 支 持 基于 Web 的 服务 台 。 这 个 “服务 台 生 产 线 ”以 后 可 能 专门 来 提供 服务 台 的 特殊 
类 型 的 帮助 。 

框架 是 复 用 的 一 个 有 效 途 径 ， 但 是 引入 软件 开发 过 程 是 非常 昂贵 的 。 它 们 本 身 就 很 复杂 ,学 
会 去 使 用 它们 需要 花费 几 个 月 的 时 间 。 评 估 可 用 的 框架 来 选择 最 合适 的 一 个 框架 是 非常 困难 和 
品 贵 的 。 调 试 基于 框架 的 应 用 程序 是 困难 的 ， 因 为 你 可 能 不 明白 那个 框架 方法 是 如 何 相互 作用 
的 。 这 是 一 个 可 重复 使 用 的 软件 的 一 般 问题 。 调 试 工具 可 能 会 提供 有 关 复 用 系统 组 件 的 信息 ， 而 
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这 是 一 名 开发 人 员 所 不 知道 的 。 


16.3 软件 产品 线 


复 用 的 最 有 效 的 方法 之 一 是 创建 软件 产品 线 或 应 用 族 。 产 品 线 是 一 组 应 用 ， 它 们 有 相同 的 
体系 结构 和 共享 组 件 ， 每 个 具体 的 应 用 程序 反映 不 同 的 要 求 。 核 心 系 统 的 目的 就 是 进行 配置 和 
ME, 以 过 应 不 门 的 系统 客户 的 需求 。 这 个 可 能 包括 ; 一 些 组 件 的 配置 ， 写 一 些 额 外 的 组 件 ， 以 
及 调整 某 些 组 件 以 反映 新 的 需求 。 

通过 调整 通用 应 用 版 本 来 开发 应 用 程序 会 有 相当 大 的 应 用 代码 得 到 复 用 。 此 外 ， 应 用 经 验 
通常 是 可 以 从 一 个 系统 转移 到 另 一 一 个 系统 的 ， 所 以 ， 当 软件 工程 人 员 加 入 到 开发 团队 时 ， 他 们 的 
学 习 过 程 就 会 缩短 。 测 试 得 到 了 简化 ， 因 为 对 于 应 用 程序 的 大 部 分 测试 也 是 可 以 复 用 的 ， 总 的 开 
发 时 间 也 得 到 了 缩短 。 

软件 产品 线 总 是 产生 于 现 有 的 应 用 。 也 就 是 ， 机 构 开发 一 个 应 用 ， 然 后 当 一 个 类 似 的 系统 又 
需要 构建 时 ， 非 严格 地 在 新 程序 里 重复 使 用 已 有 程序 中 的 代码 。 当 开发 其 他 类 似 的 程序 时 ， 要 使 
用 同样 的 过 程 。 然 而 ， 由 于 变更 总 是 要 损伤 应 用 结构 的 ， 所 以 随 着 开发 越 来 越 多 的 新 的 实例 ， 创 
造 一 个 新 的 版 本 变 得 越 来 越 困难 。 所 以 ， 应 该 将 设计 通用 产品 线 的 决定 提 到 议事 日 程 上 来 。 这 涉 
及 确定 产品 实例 的 一 般 功能 ， 并 包括 在 基本 应 用 程序 中 ， 在 以 后 的 开发 中 会 使 用 。 这 个 基本 应 用 
程序 是 专门 构建 来 简化 复 用 和 重新 配置 的 。 

应 用 框架 和 软件 产品 线 ， 显 然 有 许多 共同 点 。 它 们 都 支持 一 般 的 体系 结构 和 组 件 ， 以 及 需要 
新 的 开发 去 创建 一 个 系统 的 具体 版 本 。 这 些 方法 的 主要 不 同 如 下 : 

L 应 用 框架 依靠 面向 对 象 的 特点 ， 例 如 继承 和 多 态 ， 来 对 框架 进行 扩展 。 一 般 地 ， 框 架 代 
码 是 不 修改 的 ， 可 能 修改 的 部 分 仅 限于 框架 所 允许 盛 纳 的 组 件 。 软 件 产品 线 不 必 使 用 面向 对 象 
的 方法 来 创建 。 应 用 组 件 是 可 以 修改 、 删 除 或 重 写 的 。 至少 在 原则 上 ， 对 可 进行 的 更 改 没 有 
限制 。 

2. 应 用 框架 主要 侧重 于 技术 支持 ， 而 不 是 特定 领域 的 支持 。 例 如 ， 存 在 一 个 可 以 创建 基于 
Web 应 用 程序 的 应 用 框架 。 一 个 软件 产品 线 通 常 嵌 和 人 了 详细 的 领域 和 平台 信息 。 例 如 ， 可 能 存 
在 一 个 软件 产品 线 ， 是 基于 Web 的 用 于 健康 档案 管理 的 应 用 程序 。 

3. 软件 产品 线 往往 是 控制 设备 的 应 用 程序 。 例 如 ， 有 可 能 存在 一 系列 打印 机 的 软件 产品 线 。 
这 意味 着 这 个 软件 产品 线 必须 为 硬件 接口 提供 支持 。 应 用 框架 通常 是 面向 软件 的 ， 它 们 几乎 不 
为 硬件 接口 提供 支持 。 

4. 软件 产品 线 是 由 一 系列 的 相关 的 应 用 程序 所 构成 ， 被 同一 个 机 构 所 拥有 。 当 你 创建 一 个 
新 的 应 用 程序 时 ， 你 的 出 发 点 往往 是 应 用 族 中 最 近 的 成 员 ， 而 不 是 通用 的 核心 应 用 程序 。 

如 果 你 用 一 个 面向 对 象 的 程序 语言 来 开发 一 个 软件 产品 线 ， 你 可 能 要 使 用 一 个 应 用 程序 框 
架 作为 系统 的 基础 。 你 可 以 通过 使 用 它 的 内 在 机 制 扩大 具有 特定 领域 组 件 的 框架 来 创建 产品 线 
的 核心 。 

对 待 开发 的 软件 产品 线 的 各 类 特 化 处 理 需 要 做 的 工作 包括 ; 

1. 平台 特 化 ”为 不 同 的 平台 开发 应 用 程序 的 不 同 版 本 。 例 如 ， 一 个 应 用 程序 可 能 存在 Win- 
dows, Mac OS, Linux 等 各 种 平台 上 的 版 本 。 在 这 种 情形 下 ， 应 用 程序 的 功能 一 般 是 没有 变化 的 

只 是 与 硬件 和 操作 系统 的 接口 需要 修改 。 

2 环境 特 化 ”创建 应 用 的 版 本 来 处 理 特殊 的 操作 环境 和 外 部 设备 。 例 如 ， 应 急 服 务 系统 会 
存在 多 个 版 本 ， 每 个 版 本 依赖 于 车 辆 通信 系统 。 在 这 种 情况 下 ， 系统 组 件 要 改变 来 反映 所 使 用 的 
通信 设备 的 功能 。 

3. 功能 特 化 ”为 不 同 需求 的 客户 创建 不 同 的 应 用 程序 版 本 。 举 例 来 说 ， 图 书馆 自动 化 系统 
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需要 根据 是 用 于 公众 图 书馆 、 查 询 图 书馆 还 是 大 学 图 书馆 来 修改 。 在 这 种 情况 下 ， 实 现 功能 的 组 
件 可 能 需要 修改 ， 新 的 组 件 需 要 添加 。 

4. 过 程 特 化 ”调整 系统 使 之 与 特殊 的 业务 过 程 配套 。 例 如 ， 订 单 系统 需要 调整 来 应 对 公司 
内 的 集中 式 订购 过 程 以 及 其 他 公司 的 分 布 式 过 程 。 

一 个 软件 产品 线 体系 结构 往往 反映 了 一 个 普遍 的 、 特 定 的 应 用 程序 结构 风格 或 模式 。 例 如 ， 
考虑 设计 用 于 处 理 车 辆 调度 和 应 急 服务 的 产品 线 系统 。 此 系统 操作 员 接 听 事 故 电话 ， 寻 找 适 当 
车 辆 并 派发 到 事故 现场 。 此 类 系统 的 开发 者 可 以 将 其 调整 成 适应 警 务 、 消 防 和 急救 服务 。 

此 车 辆 调度 系统 是 资源 管理 系统 的 一 个 例子 ， 这 种 资源 管理 系统 的 应 用 体系 结构 如 图 16-7 
所 示 。 从 图 16-8 可 以 看 到 如 何 对 四 层 结构 进行 实例 化 ， 图 中 给 出 了 应 该 出 现在 车 辆 调度 系统 产 
品 线 中 的 一 些 模块 。 产 品 线 系统 中 每 一 层 中 的 组 件 是 : 

1. 在 交互 层 ， 有 提供 给 操作 者 显示 的 界面 和 与 通信 系统 之 间 的 接口 。 

2. 在 VO 管理 层 ( 层 2)， 有 处 理 操作 者 权限 的 组 件 ， 生 成 事件 和 车 辆 配 发 报告 的 组 件 ， 支 
持 地 图 输出 和 路 径 规划 的 组 件 ， s PE EL EELS IEE 





给 入 /输出 管理 


用 户 身份 认证 资源 交付 





资源 管理 
E = 
数据 库 管理 





图 16-7 交 源 分 本 系统 的 体系 结构 





En 
| 













图 16-8 车 辆 调度 系统 的 产品 线 体系 结构 
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3. 在 资源 管理 层 ( 层 3) ， 有 定位 和 调度 车 辆 的 组 件 ， 更 新 车 辆 和 设备 状态 的 组 件 ， 以 及 记 
录 事 故 细节 的 组 件 。 

4. 在 数据 库 层 ， 除 了 有 一 般 的 事务 管理 支持 组 件 外 ， 还 有 单独 的 车 辆 、 设 备 和 地 图 数据 库 。 

为 了 创建 一 个 此 系统 的 特殊 版 本 ， 需 要 修改 单个 组 件 。 例 如 ， 和 警察 部 门 有 大 量 车 辆 ， 但 是 车 
辆 的 种 类 很 少 ， 而 消防 队 有 众多 类 型 的 专门 车 辆 ， 所 以 当 为 不 同 的 服务 实现 系统 时 ， 你 需要 定义 
不 同 的 车 辆 数据 库 结 构 。 

Fd 16-9 给 出 通过 扩展 应 用 产品 线 来 创建 一 个 新 应 用 的 步骤 。 包 含 在 这 样 一 个 一 般 过 程 中 的 
步骤 是 : 





交付 新 的 
系统 实例 A 


图 16-9 产品 实例 开发 


L 导出 信息 持 有 者 需求 ”这 可 以 基于 一 般 的 需求 工程 。 不 过 ， 因 为 系统 已 经 存在 ， 它 一 般 
包括 演示 和 试验 系统 ， 把 需求 表示 为 对 所 需 功能 的 修改 。 

2. 从 现存 系统 中 选择 最 符合 要 求 的 需求 ”对 需求 进行 分 析 ， 进 而 选择 最 合适 的 产品 成 员 作 
为 修改 目标 。 

3. 重新 协商 需求 ”因为 需要 对 现 有 系统 出 现 的 更 多 细节 进行 更 改 ， 而 项 目 已 经 规划 好 了 ， 
因而 可 能 有 必要 对 需求 重新 协商 一 下 ， 将 需要 的 变更 减 到 最 少 。 

4 调整 现 有 系统 为 系统 再 开发 一 些 新 模块 的 同时 ， 改 写 现 有 的 系统 模块 来 适应 新 的 需求 。 

5. 交付 新 族 成 员 将 应 用 系列 ( 族 ) 的 新 成 员 交 付 给 客户 。 在 这 一 阶段 ， 应 该 记 下 它 的 主 
要 特征 ， 以 便 它 可 以 在 未 来 的 系统 开发 中 使 用 。 

当 创建 产品 线 的 新 成 员 时 ， 可 能 必须 在 复 用 和 满足 需求 之 间 做 出 妥协 ， 一 是 要 尽量 多 地 复 
用 一 般 应 用 的 内 容 ， 另 一 个 是 要 尽量 满足 信息 持 有 者 的 详细 需求 。 系 统 需求 越 详细 ， 现 有 组 件 满 
足 需求 的 希望 就 越 小 。 不 过 ， 如 果 信息 持 有 者 对 需求 要 求 是 有 弹性 的 ， 愿 意 限 制 系统 的 修改 幅 
度 ， 则 系统 就 能 更 快速 和 低 成 本 地 交付 了 。 

软件 产品 线 的 设计 是 用 来 配置 的 。 此 配置 可 以 包括 添加 组 件 到 系统 中 或 是 从 系统 中 删除 组 
件 ， 为 系统 组 件 定义 参数 和 约束 , 包含 业务 过 程 知 识 等 。 这 个 配置 可 以 发 生 在 开发 过 程 的 不 同 
阶段 : 

L 设计 时 配置 ”开发 软件 的 机 构 通过 开发 、 选 择 或 调整 为 顾客 创建 新 系统 的 组 件 来 修改 通 
用 产品 线 。 

2. 部 署 时 配置 ” 先 设计 一 个 通用 系统 ， 然 后 由 客户 或 者 是 专家 与 客户 一 起 对 系统 进行 配置 。 
此 系统 采用 一 组 配置 文件 来 保存 配置 信息 ， 客 户 的 特殊 需求 知识 和 系统 运行 环境 知识 都 租 入 在 
这 样 的 一 组 配置 文件 中 。 

当 一 个 系统 在 设计 阶段 进行 配置 时 ， 供 应 商 从 通用 系统 或 一 个 存在 的 产品 实例 开始 。 通 过 
修改 和 扩展 系统 中 的 模块 ， 创 建 一 个 可 以 交付 给 客户 的 能 满足 客户 所 要 求 功能 的 专门 系统 。 此 
方法 总 是 包括 改变 和 扩展 核心 系统 的 源 代码 ， 这 样 就 可 以 获得 比 部 署 时 配置 更 大 的 适应 性 。 

部 署 时 配置 包括 使 用 一 个 配置 工具 来 创造 一 个 特定 的 系统 配置 ， 它 被 记录 在 配置 数据 库 中 
或 一 个 配置 文件 中 ( 见 图 16-10) 。 当 执行 时 ， 这 个 正在 执行 的 系统 可 能 会 查询 这 个 数据 库 ， 所 
以 其 功能 会 根据 其 执行 上 下 文 而 特殊 处 理 。 
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图 16-10 部署 时 配置 


. 在 一 个 系统 中 ， 可 能 会 提供 几 个 层次 的 部 署 时 配置 : 

1. 组 件 选择 ， 即 在 系统 中 选择 提供 所 需 功能 的 那些 模块 。 例如， 在 一 个 病人 信息 系统 中 ， 
你 可 以 选择 一 个 图 像 管理 组 件 ， 人 允许 你 将 医疗 图 像 (X 射线 ，CT 扫描 等 ) 和 病人 的 医疗 记录 联 
系 起 来 。 

2. 工作 流 和 规则 定义 ， 即 你 定义 工作 流 〈 信 息 是 如 何 一 步 一 步 加 以 处 理 的 ) 和 有 关 应 用 于 
由 用 户 输入 的 或 由 系统 生成 的 信息 的 验证 规则 。 

3. 参数 定义 ,， 即 对 特定 的 系统 参数 定义 取 值 ， 这 些 参数 反映 了 你 正在 创建 的 应 用 程序 的 实 
例 。 例 如 ， 你 可 以 给 定数 据 输 入 字段 的 最 大 长 度 ， 这 可 以 是 由 用 户 输入 或 由 系统 硬件 的 特性 所 
产生 。 

部 署 时 配置 可 以 非常 复杂 ， 可 能 需要 许多 个 月 来 配置 一 个 客户 系统 。 大 型 配置 的 系统 可 以 
支持 通过 提供 软件 工具 的 配置 过 程 ， 诸 如 提供 配置 规划 工具 ， 来 支持 配置 过 程 。16. 4. 1 节 将 进 
一 步 讨论 部 署 时 配置 。 这 涵盖 了 COTS 的 系统 的 复 用 ， 必 须 对 它 进行 配置 ， 以 工作 在 不 同 的 运行 
环境 。 

使 用 系统 中 的 现 有 的 部 署 时 配置 设施 去 开发 一 个 新 系统 版 本 是 不 可 能 的 。 这 时 就 需要 设计 
时 配置 了 。 然 而 ， 随 着 时 间 的 推移 ， 当 你 创造 了 几 个 具有 同等 功能 的 族 成 员 时 ， 你 可 以 决定 重 构 
核心 产品 线 ， 来 包括 已 在 多 种 应 用 族 成 员 中 实现 的 功能 。 然 后 ， 当 系统 部 署 时 ， 你 可 以 使 这 一 新 
的 功能 是 可 配置 的 。 


16.4 COTS 产品 的 复 用 


商业 现货 (COTS) 产品 是 无 需 修改 系统 的 源 代码 ， 就 能 适应 不 同 客户 的 需求 即 可 使 用 的 软 
件 系统 。 事 实 上 ， 所 有 的 桌面 软件 和 很 大 一 部 分 服务 器 产品 都 是 COTS 软件 。 由 于 这 些 软件 是 为 
通用 所 设计 的 ， 它 总 是 包括 很 多 特性 和 功能 ， 因 此 ， 它 有 可 能 被 重复 使 用 在 不 同 环境 中 和 不 同 的 
应 用 程序 的 一 部 分 中 。 Torchiano 和 Morisio (2004) 还 发 现 ， 使 用 的 开源 产品 往往 是 COTS 产品 。 
也 就 是 说 ， 使 用 开源 系统 ， 是 不 需要 修改 和 查看 源 代 码 的 。 

COTS 产品 靠 使 用 内 置 的 配置 机 制 来 适应 需求 ， 内 置 的 配置 机 制 允许 调整 系统 的 功能 以 适应 
特定 客户 的 需求 。 例 如 ， 在 一 个 医院 病人 记录 系统 中 ， 为 不 同类 型 的 病人 ， 可 能 定义 独立 的 输入 
形式 和 输出 报告 。 其 他 配置 功能 可 能 允许 系统 接受 插件 ， 它 用 来 扩展 功能 或 检查 用 户 输入 ， 以 确 
保 它们 是 有 效 的 。 . 

在 过 去 15 年 左右 的 时 间 里 ， 这 个 软件 复 用 的 方法 被 很 多 大 公司 广泛 采用 ， 因 为 它 提供 了 比 
传统 软件 开发 更 大 的 好 处 : 

l. 随 着 其 他 复 用 类 型 的 使 用 ， 一 个 可 靠 的 系统 的 更 快速 部 署 是 可 能 的 。 

2. 看 到 应 用 程序 提供 哪些 功能 是 可 能 的 ， 因 此 很 容易 判断 它们 是 否 合适 。 其 他 公司 可 能 已 
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经 在 使 用 这 样 的 应 用 程序 ， 所 以 系统 经 验 是 可 用 的 。 

3. 使 用 已 经 存在 的 软件 可 避免 一 些 开 发 风险 。 然 而 ， 这 个 方法 存在 着 风险 ， 稍 后 将 讨论 之 。 

4. 业务 部 门 可 以 只 专注 于 他 们 的 核心 活动 ， 而 不 必 投 入 大 量 的 资源 到 IT 系统 的 开发 。 

5， 随 着 运行 平台 的 进化 ， 技 术 更 新 可 能 会 简化 ， 因 为 这 些 都 是 现成 的 产品 供应 商 应 负 的 责 
任 ， 而 不 是 客户 。 

当然 ， 这 个 软件 工程 方法 存在 它 自己 的 问题 : 

l. 需求 通常 都 必须 调整 ， 以 反映 COTS 产品 的 操作 功能 和 模式 。 

2. COTS 产品 可 能 基于 这 样 的 假设 : 在 实际 中 它们 是 不 可 能 改变 的 。 因 此 ， 客 户 必须 调整 他 
们 的 业务 ， 以 反映 这 些 假设 。 

3. 为 企业 选择 合适 的 COTS 系统 可 能 是 一 个 艰难 的 过 程 ， 特 别 是 许多 COTS 产品 都 没有 详细 
的 描述 。 作 出 错误 的 选择 可 能 是 灾难 性 的 ， 因 为 它 可 能 无 法 使 新 的 系统 按照 所 需要 的 那样 工作 。 

4. 有 可 能 是 缺乏 本 地 的 专家 以 支持 系统 的 开发 。 因 此 ， 客 户 必 须 依赖 于 供应 高 和 外 部 顾问 
以 得 到 有 关 开 发 的 建议 。 这 个 建议 可 能 是 有 偏见 的 和 面向 销售 的 产品 和 服务 的 ， 而 不 是 满足 客 
户 的 真正 需要 。 

5. 该 COTS 产品 供应 商 控制 着 系统 的 支持 和 进化 。 他 们 可 能 会 倒闭 ， 被 接管 ， 或 可 能 做 出 改 
变 ， 为 客户 带 来 困难 。 

基于 COTS 的 软件 复 用 ， 已 经 越 来 越 普遍 。 新 的 业务 信息 处 理 系统 ， 绝 大 部 分 是 使 用 COTS 
建成 的 ， 而 不 是 使 用 面向 对 象 的 方法 。 尽 管用 这 种 方法 进行 系统 开发 可 能 存在 某 些 问题 (Trace, 
2001) ， 成 功 案例 (Baker, 2002; Balk 和 Kedia，2000; Pfarr 和 Reis, 2002) 说 明基 于 COTS 的 复 
用 减少 了 部 署 这 一 系统 的 人 力 和 时 间 。 

存在 两 种 类 型 的 COTS 产品 复 用 ， 即 COTS 解决 方案 系统 和 COTS 集成 系统 。COTS 的 解决 方 
案 系 统 包 括 一 个 通用 的 来 自 一 个 单一 的 供应 商 应 用 程序 ， 根 据 客户 的 需求 来 配置 应 用 程序 。 
COTS 的 集成 系统 涉及 集成 两 个 或 两 个 以 上 的 COTS 系统 (可 能 来 自 不 同 厂商 ) 来 创造 一 个 应 用 
系统 。 图 16-11 总 结 了 这 些 不 同 的 方法 之 间 的 差异 。 


























COTS 解决 方案 系统 | COTS 集成 系统 
独立 的 产品 ， 提 供 一 个 客户 要 求 的 功能 集成 多 个 异 构 系 统 产品 来 提供 个 性 化 的 功能 
基于 围绕 一 个 通用 的 解决 方案 和 标准 化 的 过 程 | 可 为 客户 过 程 开发 灵活 的 解决 方案 
开发 侧重 于 系统 配置 ”| 开发 侧重 于 系统 集成 
系统 供应 商 负 责 维持 系统 拥有 者 负责 维持 
系统 供应 商 提供 系统 平台 | 系统 拥有 者 提供 系统 平台 








图 16-11 COTS 解决 方案 系统 和 COTS 集成 系统 


16.4.1 COTS 解决 方案 系统 


COTS 的 解决 方案 是 通用 的 应 用 系统 ， 可 能 是 设计 来 支持 特定 的 业务 类 型 和 业务 活动 ， 有 时 
可 能 是 支持 一 个 完整 的 商业 企业 。 例 如 ， 为 牙医 开发 的 一 个 COTS 系统 ， 用 来 处 理 预 约 、 牙 齿 记 
录 、 病 人 召回 等 。 更 大 规模 来 说 ， 企 业 资 源 规划 (ERP) 系统 可 支持 在 一 家 大 公司 的 所 有 的 生 
产 、 订 货 和 客户 关系 管理 活动 。 

特定 领域 的 COTS 解决 方案 系统 ， 比 如 支持 一 个 商业 功能 (例如 文件 管理 ) 的 系统 ， 其 提供 
的 功能 ， 很 可 能 是 由 一 系列 的 潜在 用 户 所 需要 的 。 然 而 ， 它 们 也 包含 内 嵌 的 关于 用 户 如 何 工作 的 
假设 ， 这 可 能 会 在 特定 情况 下 引起 问题 。 例 如 ， 一 个 支持 在 大 学 里 学 生 注册 的 系统 可 能 假设 学 生 
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在 一 个 大 学 只 能 注册 一 个 学 位 。 然 而 ， 如 果 大 学 合作 来 提供 联合 学 位 ， 那 么 要 在 这 个 系统 中 来 表 
现 出 来 几乎 是 不 可 能 的 。 

企业 资源 规划 (ERP) 系统 如 那些 由 SAP 和 BEA 所 生产 的 系统 ， 是 大 型 集成 系统 ， 设 计 来 
支持 如 订单 和 发 票 、 库 存 管理 以 及 制造 调度 这 些 业 务 过 程 的 《0' Leary，2000)。 它 们 的 配置 过 
程 包 含 收集 有 关 客 户 的 业务 和 业务 过 程 的 详细 信息 ， 然 后 将 此 信息 知人 到 配置 数据 库 中 。 这 通 
常 需 要 配置 符号 系统 和 工具 的 详细 知识 ， 并 需要 专家 与 系统 客户 一 道 工作 完成 配置 任务 。 

一 个 通用 ERP 系统 包含 大 量 模块 ， 这 些 模块 可 以 以 不 同 的 方式 来 组 合 为 一 个 客户 创建 一 个 
系统 。 配 置 过 程 包括 选择 要 包括 的 模块 ， 配 置 这 些 单个 模块 ， 定 义 业务 过 程 和 业务 规则 ， 定 义 系 
统 数 据 库 的 结构 和 组 织 。 支 持 各 种 业务 功能 的 一 个 ERP 系统 总 体 结构 模型 如 图 16-12 Bron 






业务 规则 
7 
系统 数据 库 


图 16-12 ERP 系统 的 体系 结构 





这 个 结构 的 关键 特征 是 : 

1， 支 持 不 同 的 业务 功能 的 众多 模块 。 这 些 都 是 大 粒度 模块 ， 支 持 整个 部 门 或 业务 部 门 。 在 
图 16-12 所 示 的 例子 ， 已 经 被 选 为 包括 在 该 系统 的 模块 是 一 个 支持 供应 链 管理 的 模块 ， 一 个 支持 
货物 交付 的 物流 模块 和 一 个 维护 客户 信息 的 客户 关系 管理 (CRM) 模块 。 

2、 定 义 好 的 一 组 业务 流程 ， 与 每 个 模块 相关 联 ， 涉 及 在 那个 模块 中 的 若干 活动 。 例 如 ， 可 
能 有 一 个 订购 流程 的 定义 ， 它 定义 了 如 何 创建 和 核准 订单 。 这 将 指定 参与 订货 的 角色 和 活动 。 

3. 一 个 共同 的 数据 库 拥有 所 有 相关 业务 功能 的 信息 。 这 意味 着 不 必 在 不 同业 务 部 分 中 复制 
诸如 用 户 详细 信息 。 

4. 一 个 适用 于 数据 库 中 的 所 有 数据 的 业务 规则 。 因 此 ， 当 数据 从 一 个 函数 输入 时 ， 这 些 规 
则 应 确保 它 与 其 他 函数 所 需要 的 这 个 数据 相 一 致 。 例 如 ， 可 能 有 一 个 业务 规则 ， 所 有 费用 报销 必 
须 由 比 需 要 报销 的 人 更 高 一 级 的 人 员 批 准 。 

大 多 数 大 公司 都 使 用 ERP 系统 来 支持 它们 的 某 些 或 全 部 功能 。ERP 系统 因此 是 使 用 最 广 的 
软件 复 用 的 形式 。 然 而 ， 这 种 复 用 方法 的 明显 的 限制 是 系统 的 功能 受 限于 通用 核心 的 功能 。 而 
且 , 公司 的 运行 必须 表述 为 系统 的 配置 语言 ， 而 业务 概念 和 配置 语言 所 支持 的 概念 之 间 是 会 存 
在 某 些 不 一 致 的 地 方 的 。 , 

例如 ， 在 出 售 给 大 学 的 ERP 系统 中 ， 客 户 的 概念 就 必须 定义 。 在 配置 这 个 系统 时 ， 遇 到 了 
很 大 的 困难 。 大 学 有 多 种 类 型 的 客户 ， 例 如 学 生 、 科 研 基金 代理 机 构 、 教 育 慈 善 机 构 等 ， 他 们 中 
的 每 一 个 都 有 不 同 的 特点 ， 都 完全 不 同 于 商业 客户 (例如 ， 购 买 产品 或 服务 的 一 个 人 或 一 个 单 
位 )。 在 系统 和 客户 所 使 用 的 业务 模型 上 的 严重 不 匹配 使 得 ERP 系统 不 能 满足 客户 真实 需要 的 可 
能 性 非常 大 (Scott, 1999), 

这 两 个 特定 领域 的 COTS 产品 和 ERP 系统 通常 需要 大 量 的 配置 ， 以 适应 每 一 个 机 构 的 安装 要 
求 。 这 个 配置 可 能 涉及 : 

l. 从 系统 中 选择 所 需要 的 功能 (例如 ， 决 定 包 括 什么 样 的 模型 ) 。 

2. 建立 数据 模型 ， 定 义 在 系统 的 数据 库 中 机 构 的 数据 是 如 何 组 织 的 。 
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. 定义 适用 于 数据 的 业务 规则 。 
- 定义 和 外 部 系统 的 预期 的 交互 。 
- 设计 由 系统 生成 的 输入 形式 和 输出 报告 。 
. 设计 新 的 业务 流程 ， 符 合 系统 支持 的 基本 的 过 程 模 型 。 
. 设置 参数 ， 它 定义 了 是 如 何在 基础 平台 上 进行 部 署 的 。 

一 旦 配置 设置 完成 ， 一 个 COTS 解决 方案 系统 就 可 以 进行 测试 了 。 当 配置 系统 时 ， 而 不 是 
使 用 传统 的 编程 语言 来 开发 时 ， 测 试 是 一 个 重大 问题 。 因 为 这 些 系统 是 使 用 一 个 可 信赖 的 平 
台 来 开发 的 ， 明 最 的 系统 错误 和 崩 演 是 相当 少 的 。 相 反 的 ， 这 些 问 题 往往 是 很 微妙 的 ， 它 涉 
及 业务 之 间 的 过 程 和 系统 配置 的 相互 作用 。 这 些 可 能 只 能 被 最 终 用 户 检测 出 来 ， 因 此 可 能 不 
会 在 系统 测试 过 程 中 发 现 。 此 外 ， 不 能 使 用 依靠 测试 框架 如 JUnit 框架 的 自动 化 单元 测试 。 这 
个 基本 系统 是 不 可 能 支持 任何 形式 的 测试 自动 化 的 ， 可 能 没有 完整 的 系统 规范 可 用 于 来 派生 
出 系统 测试 。 


16.4.2 COTS 集成 系统 


COTS 集成 系统 是 包括 两 个 或 更 多 COS 产品 的 应 用 程序 ,或 者 有 时 候 是 遗留 应 用 系统 。 当 
没有 单个 的 COTS 产品 满足 你 的 需求 时 ， 或 是 当 你 想 融 入 一 个 新 的 COTS 的 系统 到 已 经 在 使 用 的 
产品 中 时 ， 可 以 使 用 这 个 方法 。 如 果 这 些 接 口 已 经 定义 好 了 的 话 ， 这 个 COTS 产品 可 以 通过 应 用 
程序 编程 接口 或 服务 的 接口 来 交互 。 此 外 ， 它 们 可 能 是 通过 连接 一 个 系统 输出 到 另 一 个 系统 的 
输入 或 更 新 的 现成 应 用 程序 使 用 的 数据 库 而 组 成 的 。 

通过 使 用 COTS 产品 进行 系统 开发 ， 你 需要 做 出 多 个 设计 选择 ， 

l. 哪个 COTS 产品 提供 最 为 恰当 的 功能 ? ”通常 , 会 有 几 个 可 用 的 COTS 产品 ， 它 们 需要 
以 不 同 的 方式 整合 进来 。 如 果 你 还 没有 使 用 COTS 产品 的 经 验 ， 决 定 哪个 产品 是 最 为 合适 的 是 一 
件 很 困难 的 事 。 

2. 数据 如 何 交换 ? ”一 般 来 讲 ， 不 同 产品 通常 使 用 独特 的 数据 结构 和 格式 ， 你 需要 编写 适 
配器 来 完成 从 一 个 表示 到 另 一 个 表示 的 转换 。 这 些 适配器 是 运行 时 系统 ， 与 COTS 产品 一 起 
工作 。 

3， 实 际 使 用 产品 的 哪些 特性 ? ” 绝 大 多 数 COS 产品 有 比 你 所 需要 的 多 得 多 的 功能 ， 而 且 产 
品 间 功 能 上 的 重复 性 很 大 。 你 需要 决定 哪个 产品 的 哪个 特性 最 为 适合 你 的 需要 。 如 果 可 能 的 话 ， 
你 还 应 该 不 允许 对 未 使 用 的 功能 访问 ， 因 为 这 可 能 干扰 正常 的 系统 操作 。 阿 丽 亚 娜 5 号 火箭 
(Nuseibeh, 1997) 的 第 一 次 飞行 失败 ， 是 由 于 在 惯性 导航 系统 中 的 一 个 失败 所 引起 的 ， 这 个 惯 
性 导航 系统 是 复 用 阿 丽 亚 娜 4 号 系统 的 。 然 而 ， 那 个 失败 的 功能 在 阿 丽 亚 娜 5 号 中 是 没有 需 
求 的 。 

作为 对 COTS 集成 的 说 明 ， 考 虑 下 面 的 情形 。 有 一 个 大 型 机 构 计 划 开 发 一 个 采购 系统 ， 人 允许 
工作 人 员 从 他 们 的 个 人 计算 机 上 下 订单 。 通 过 在 机 构 中 引入 此 系统 ， 公 司 估计 每 年 可 以 节省 500 
万 美元 。 通 过 集中 采购 ， 新 的 采购 系统 能 确保 总 是 向 提供 的 价格 最 为 便宜 的 供 货 商 下 订单 ， 而 且 
应 该 减少 订单 所 相关 的 一 系列 文书 工作 的 费用 。 与 手工 系统 相同 ， 这 包括 从 供 货 商 处 选择 可 用 
商品 ,创建 一 个 订单 ， 在 订单 得 到 批准 后 ， 将 订单 发 送 到 供 货 商 ， 接 收 货物 并 确定 应 该 支付 的 
内 容 。 

公司 已 存在 一 个 订货 系统 ， 由 采购 办 公 室 使 用 。 此 订单 处 理 软件 已 经 集成 了 一 个 已 存在 的 
货品 计价 和 发 送 系 统 。 为 了 创建 新 的 订货 系统 ， 他 们 将 遗留 下 的 系统 与 一 个 基于 Web 的 商务 平 
合 以 及 一 个 处 理 用 户 间 通信 的 电子 邮件 系统 集成 在 一 起 。 最 后 的 使 用 COTS 的 采购 系统 的 结构 如 
图 16-13 所 示 。 
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图 16-13 COTS 集成 的 获得 系统 


该 采购 系统 是 基于 客户 端 /服务 器 模式 的 ， 在 客户 端 ， 使 用 的 是 标准 的 Web 浏览 和 了 -mail 软 
件 。 在 服务 器 端 ， 电 子 商务 平台 通过 适配器 与 现 有 的 订货 系统 集成 在 一 起 。 电 子 商务 系统 有 其 自 
己 的 订单 格式 和 交 货 形态 等 ， 这 些 都 需要 转变 为 订单 系统 所 使 用 的 格式 。 电 子 商 务 系统 与 E-mail 
系统 是 固定 集成 在 一 起 的 ， 能 发 送 通知 单 给 客户 ， 但 是 订单 系统 却 没有 这 个 设计 。 为 此 ， 需 要 写 
A—MERSHET BASE Pi APR E-mail 消息 。 

使 用 COTS 集成 的 方法 有 时 能 节省 数 个 月 甚至 数 年 的 工作 量 ， 开 发 和 部 署 一 个 系统 的 时 间 可 
以 大 大 降低 。 在 上 面 所 描述 的 采购 系统 在 非常 大 的 公司 中 的 实现 和 部 署 花 了 3 个 月 的 时 间 而 不 是 
像 他 们 估计 的 需要 在 Java 中 开发 3 年 。 

如 果 使 用 面向 服务 的 方法 ，COTS 集成 可 以 被 简化 。 本 质 上 讲 ， 面 向 服务 的 方法 意味 着 介 许 
你 通过 标准 的 服务 接口 访问 应 用 系统 中 的 功能 。 有 些 应 用 程序 提供 服务 接口 ， 但 是 有 时 候 ， 这 个 
服务 接口 必须 由 系统 集成 者 自己 实现 。 从 本 质 上 讲 ， 你 要 一 个 包装 程序 ， 来 隐藏 应 用 程序 并 提供 
外 部 可 见 的 服务 (ILE 16-14) 。 这 种 方法 对 那些 必须 集成 较 新 的 应 用 系统 的 遗留 系统 是 特别 有 
价值 的 。 


服务 包装 器 





图 16-14 ”应 用 程序 包装 
原则 上 讲 ， 集 成 一 个 大 规模 的 商业 现货 系统 与 集成 其 他 组 件 没有 什么 两 样 。 必 须 了 解 系统 


的 接口 并 且 只 使 用 它们 与 该 软件 通信 ; 必须 在 满足 专门 需求 和 快速 开发 及 复 用 之 间 做 出 权衡 ; 
必须 设计 一 个 系统 体系 结构 来 盛 纳 这 些 商业 现货 系统 ， 使 之 一 起 工作 。 
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然而 ， 这 些 产品 通常 都 是 一 些 大 型 系统 并 且 经 常 作为 一 个 独立 系统 出 售 ， 由 此 产生 了 一 些 


额外 问题 。Boehm 和 Abts (1999) 讨论 了 4 个 重要 的 COTS 系统 集成 问题 ; 
1. 对 功能 和 性 能 缺乏 控制 ”虽然 发 布 的 产品 接口 似乎 提供 了 所 需要 的 设施 ， 但 这 些 可 能 没 
有 正确 地 实现 或 者 是 性 能 较 差 。 产 品 中 可 能 存在 一 些 隐藏 的 操作 干扰 它 的 正常 功能 。 修 补 这 些 


问题 可 能 成 为 集成 COTS 产品 时 的 一 个 首要 问题 ， 但 这 只 是 集成 者 所 要 关心 的 事 ， 提 供 商 是 不 会 


真正 关心 的 。 用 户 要 想 复 用 COTS 产品 ， 就 要 查 清 问题 的 影响 范围 。 
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2. 商业 现货 系统 间 的 互 操作 问题 有 时 让 各 种 COTS 产品 协同 工作 是 件 困 难 的 事 ， 因 为 每 种 
产品 都 有 其 对 使 用 的 假定 条 件 。Garlan 等 (1995) 报告 了 他 们 在 集成 4 种 商业 现货 产品 的 经 验 ， 
发 现 其 中 的 3 个 产品 是 基于 事件 的 ， 但 每 一 个 都 有 其 不 同 的 事件 模型 。 每 个 系统 假定 对 事件 序列 
的 访问 人 口 都 是 唯一 的 。 结 果 是 ， 集 成 非常 困难 。 项 目 需 要 的 工作 量 是 原先 预计 的 5 倍 ， 原 先 预 
计 6 个 月 完成 该 项 目 ， 最 后 花 了 两 年 才 完 成 。10 年 后 在 对 他 们 工作 的 回顾 性 分 析 中 ，Garlan 等 
(2009) 得 出 的 结论 是 ， 他 们 所 发 现 的 集成 问题 仍然 没有 得 到 解决 。Torchiano 和 Morisio £M, 在 
一 些 COTS 产品 中 缺乏 对 标准 的 遵守 ， 这 意味 着 集成 比 预期 的 更 加 困难 。 

3. 无 法 控制 系统 的 进化 ”商业 现货 产品 的 厂商 根据 他 们 自身 感受 的 市 场 压力 来 决定 对 系统 
的 变更 。 尤 其 对 PC 产品 ， 新 版 本 的 发 布 非常 频繁 ， 而 且 这 些 新 版 本 并 不 完全 与 旧 的 版 本 兼容 。 
新 版 本 可 能 有 附加 的 不 必要 的 功能 ， 而 早先 的 版 本 可 能 难以 得 到 和 得 不 到 支持 。 

4. COTS 产品 厂商 的 支持 ”商业 现货 产品 厂商 能 提供 的 支持 程度 很 不 一 样 。 开 发 者 没有 可 
能 看 到 其 源 代码 以 及 详细 的 系统 文档 ， 因 而 当 出 现 问题 时 ， 来 自 厂 商 的 支持 就 变 得 尤为 重要 。 虽 
然 厂商 可 能 承诺 提供 支持 ， 但 是 变化 的 市 场 和 经 济 环境 可 能 使 他 们 难以 兑现 这 些 承诺 。 举 例 来 
说 ,一 个 COTS 系统 厂商 可 能 决定 停止 某 个 产品 的 生产 ， 因 为 该 产品 的 需求 已 经 很 小 ， 或 者 是 公 
司 已 经 由 别 的 公司 接管 ， 新 公司 不 想 对 所 有 已 被 收购 产品 都 提供 支持 。 

Boehm 和 Abts 认为 在 许多 情况 下 ， 使 用 COTS 产品 比 不 使 用 这 些 产品 在 系统 维护 和 进化 方面 
的 成 本 要 有 所 提高 。 所 有 这 些 困难 都 是 生命 周期 问题 ， 它 们 不 仅仅 影响 初始 的 系统 开发 。 参 与 系 
统 维护 的 人 员 与 最 初 的 系统 开发 人 员 之 间 的 差距 越 大 ， 在 COTS 产品 集成 时 真正 出 现 困难 的 可 能 
性 就 越 大 。 


要 点 


a 现在 大 多 数 新 的 业务 软件 系统 是 通过 复 用 以 往 已 实现 的 系统 的 知识 和 代码 来 开发 的 。 

a 复 用 软件 有 很 多 种 方法 。 这 些 包括 从 对 库 中 类 和 方法 的 复 用 到 对 完整 应 用 系统 的 复 用 。 

m 软件 复 用 的 好 处 是 较 低 的 成 本 、 较 快速 的 软件 开发 以 及 较 小 的 风险 。 同 时 ， 系 统 可 靠 性 得 
到 增加 ， 而 且 能 让 专家 腾 出 精力 将 其 专门 技术 更 有 效 地 用 于 可 复 用 组 件 的 设计 上 。 

® 应 用 框架 是 这 样 的 一 些 具体 和 抽象 的 对 象 的 集合 ， 这 些 对 象 的 设计 是 要 通过 特 化 和 添加 新 
对 象 使 之 得 以 复 用 。 他 们 通常 通过 设计 模式 来 体现 良好 的 设计 实践 。 

软件 产品 线 是 一 组 相关 应 用 ， 从 一 个 或 多 个 基础 应 用 衍生 而 来 。 通 用 系统 可 以 调整 和 特 化 
来 满足 在 功能 上 的 特殊 需要 ， 或 者 是 适应 不 同 的 平台 或 运行 配置 。 

a COTS 产品 复 用 是 关于 对 大 型 现货 产品 系统 的 复 用 。 这 些 产品 提供 了 大 量 的 功能 ， 对 它们 
的 复 用 能 极 大 地 降低 成 本 和 节省 开发 时 间 。 开 发 一 个 系统 ， 可 以 通过 配置 一 个 单独 的 、 通 
用 的 COTS 产品 或 是 通过 集成 两 个 或 更 多 的 COTS 产品 。 

企业 资源 规划 (ERP〉 系统 是 大 型 COTS 复 用 的 例子 。 特 殊 ERP 系统 是 通过 对 通用 系统 配 
置 创 建 的 ， 这 种 配置 可 以 在 部 署 时 利用 客户 的 业务 进程 和 规则 信息 进行 。 

基于 COTS 产品 的 复 用 的 潜在 问题 包括 对 功能 和 性 能 缺乏 控制 ， 同 时 缺乏 对 系统 进化 的 控 
制 ， 需 要 来 自 外 部 供应 方 的 支持 ， 以 及 在 确保 系统 能 互 操作 上 的 困难 。 


进一步 阅读 材料 
《Reuse-based Software Engineering》， 这 是 一 本 全 面 讨论 软件 复 用 不 同方 法 的 书 ， 涵 盖 了 技术 
复 用 问题 和 管理 复 用 过 程 (H. Mili, A. Mili ,S. Yacoub and E. Addg, John Wiley & Sons ,2002) 。 


«Overlooked Aspects of COTS-Based Development) ， 这 是 一 篇 非常 有 趣 的 文章 ， 它 讨论 了 采用 
基于 COTS 的 方法 的 开发 人 员 的 一 份 调查 和 他 们 所 遇 到 的 问题 (M. Torchiano and M. Morisio, IEEE 
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Software ,21(2) , March - April 2004) , http://dx. doi. org/10. 1109/MS. 2004. 1270770, 

«Construction by Configuration; A new Challenge for Software Engineering》， 这 是 一 篇 邀 稿 ， 作 
者 在 其 中 讨论 了 通过 配置 现 有 的 系统 来 构建 一 个 新 的 应 用 程序 的 问题 和 困难 (I Sommerville , 
Proc, 19" Australian Software Engineering Conference, 2008 ), http://dx. doi. org/ 10. 1109/ 
ASWEC. 2008. 75. 

(Architectural Mismatch: Why Reuse Is Still So Hard》， 这 篇 文章 回顾 了 早 前 的 一 篇 关于 复 用 和 
集成 多 个 COTS 产品 系统 的 问题 的 文章 。 作 者 得 出 结论 ， 虽 然 取得 了 一 些 进步 ， 仍 然 还 有 与 单个 
系统 的 设计 者 作出 的 假设 相 冲 突 的 问题 (D. Garlan et al. , IEEE Software, 26(4) ，July - August 
2009), http://dx. doi. org/10. 1109/MS. 2009. 86, 


练习 

16.1 阻碍 软件 复 用 的 技术 和 非 技术 因素 有 哪些 ? 从 你 自己 的 经 验 来 看 ， 你 复 用 过 很 多 软件 吗 ? 如 果 没 有 ， 
那 又 是 为 什么 ? 

16.2 解释 一 下 为 什么 通过 复 用 已 有 的 软件 所 节省 的 成 本 并 不 是 简单 地 与 所 使 用 的 组 件 规模 成 比例 。 

16.3. 给 出 你 认为 不 应 该 使 用 软件 复 用 的 4 种 情况 。 

16.4 解释 “控制 反 转 ”是 什么 意思 。 解 释 如果 集 成 两 个 独立 的 系统 ， 其 中 这 两 个 系统 是 使 用 同样 的 应 用 
程序 框架 来 开发 的 ， 为 什么 这 个 方法 会 产生 问题 。 

16.5 使 用 第 1 章 和 第 7 章 的 气象 站 系统 ， 为 这 个 应 用 族 提出 一 个 产品 线 体系 结构 ， 该 应 用 族 处 理 远程 监 
控 和 数据 收集 。 你 应 该 展现 一 个 分 层 模型 的 架构 ， 显 示 在 每 个 层 可 能 包含 的 组 件 。 

16.6 ”大 多 数 桌 面 软件 ， 如 文字 处 理 软件 ， 可 以 以 许多 不 同 的 方式 配置 。 检 查 你 经 常 使 用 的 软件 ， 列 出 为 
那个 软件 进行 配置 的 选项 。 说 明 用 户 在 配置 这 个 软件 时 遇 到 的 困难 。 如 果 你 使 用 Microsoft office 或 是 
Open office， 这 些 是 做 这 个 练习 的 很 好 的 例子 。 

16.7 为 什么 许多 大 公司 选择 ERP 系统 作为 他 们 机 构 的 信息 系统 的 基本 系统 ? 在 一 个 机 构 中 部 署 一 个 大 规 
模 的 ERP 系统 ， 可 能 出 现 什 么 问题 ? 

16.8 找 出 在 通过 使 用 COTS 进行 系统 构造 是 会 发 生 的 6 种 风险 。 公 司 能 采取 哪些 步骤 来 降低 这 些 风 险 。 

16.9 解释 为 什么 在 通过 集成 COTS 产品 构造 系统 时 适配器 总 是 需要 的 。 说 出 在 写 连接 两 个 现成 应 用 产品 
的 适配器 软件 时 可 能 出 现 的 3 个 实际 问题 。 

16.10 ”软件 复 用 涉及 很 多 版 权 和 知识 产权 问题 。 如 果 一 个 客户 出 资 让 软件 开发 商 开 发 某 系统 ， 谁 将 拥有 所 
开发 代码 的 复 用 权 ? 软件 开发 商 有 权 使 用 这 些 代 码 作为 一 种 一 般 组 件 的 基础 吗 ? 应 该 使 用 什么 支付 
机 制 来 补偿 可 复 用 组 件 的 提供 者 ”讨论 这 些 问 题 和 其 他 的 有 关 软 件 复 用 的 道德 争议 。 
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本 章 的 目标 是 阐述 一 种 基于 可 复 用 的 、 标 准 化 组 件 组 合 的 软件 复 用 方法 。 读 完 本 章 ， 你 将 了 
解 以 下 内 容 : 

u 基于 组 件 的 软件 工程 是 有 关 基 于 组 件 模 型 的 标准 化 组 件 开发 以 及 将 其 组 成 应 用 系统 等 

内 容 ; 

了 解 组 件 和 组 件 模型 的 含义 ; 

了 解 面向 复 用 的 CBSE 过 程 的 主要 活动 和 基于 复 用 的 CBSE 过 程 ; 

m 了 解 在 组 件 合成 过 程 中 出 现 的 困难 和 问题 。 

正如 第 16 章 中 所 讨论 的 ， 很 多 新 的 业务 系统 是 通过 配置 现成 的 系统 来 开发 的 。 然 而 ， 当 一 
个 公司 因为 现货 系统 不 能 满足 他 们 的 需求 时 ， 就 不 能 使 用 现成 的 系统 ， 他 们 因而 需要 进行 专门 
开发 。 对 于 定制 软件 ， 基 于 组 件 的 软件 工程 是 一 种 有 效 的 、 面 向 复 用 的 开发 新 的 企业 系统 的 
方法 。 

基于 组 件 的 软件 工程 出 现 于 20 世纪 90 年 代 末 期 ， 是 软件 系统 开发 的 基于 复 用 的 方法 。 它 的 
产生 是 由 于 设计 者 们 在 使 用 面向 对 象 的 开发 过 程 中 所 受到 的 挫折 ， 这 种 挫折 来 自 于 面向 对 象 开 
发 不 能 够 实现 像 人 们 最 初 所 期 待 的 那样 能 完成 广泛 的 复 用 。 单 个 对 象 类 有 太 多 细节 且 太 特殊 ， 
通常 需要 在 编译 时 间 与 应 用 绑 定 。 我 们 必须 拥有 对 类 的 详细 的 知识 以 便于 应 用 它们 。 一 般 来 讲 
这 意味 着 不 得 不 掌握 组 件 的 源 代码 。 这 意味 着 ， 销 售 和 发 布 对 象 作为 单独 的 可 复 用 的 组 件 实际 
上 是 不 可 行 的 。 l 

组 件 是 比 对 象 更 高 层次 的 抽象 ， 是 由 它们 的 接口 来 定义 的 。 它 们 一 般 比 对 象 大 ， 所 有 的 实现 
细节 对 其 他 组 件 是 隐藏 的 。CBSE 是 定义 、 实 现 和 集成 或 组 合 松散 耦合 的 独立 组 件 成 系统 的 过 程 。 
它 之 所 以 成 为 重要 的 软件 开发 方法 是 因为 软件 系统 变 得 更 大 、 更 复杂 ， 且 用 户 要 求 开发 更 可 靠 、 
发 布 和 部 署 更 快 的 软件 。 我 们 处 理 这 种 复杂 性 ， 并 更 快 交付 软件 的 方法 是 复 用 软件 组 件 而 不 是 
重新 实现 软件 组 件 。 

基 与 组 件 的 软件 工程 的 要 素 有 : 

1. 独立 组 件 由 它们 的 接口 完全 定义 。 在 组 件 接口 与 组 件 实现 之 间 应 该 被 明确 地 分 离开 来 ， 
这 意味 着 用 另 一 种 方法 实现 组 件 代替 其 他 的 实现 时 系统 不 发 生 任何 改变 。 

2. 组 件 标 准 使 组 件 集 成 变 得 更 为 容易 。 这 些 标准 包含 在 组 件 模型 之 中 ， 在 最 低 程 度 上 定义 
规定 了 组 件 接口 应 该 如 何 定义 ， 如 何 实现 组 件 间 的 交互 。 一 些 模型 定义 了 应 该 由 所 有 相 容 组 件 
所 实现 的 那些 接口 。 如 果 组 件 构造 符合 标准 ， 则 它们 的 操作 独立 于 编程 语言 。 用 不 同 语言 编写 的 
组 件 可 集成 在 同一 个 系统 中 使 用 。 

3. 中 间 件 为 组 件 集成 提供 软件 支持 。 为 了 使 独立 的 、 分 布 式 的 组 件 一 起 工作 ， 需 要 有 处 理 
组 件 之 间 通 信 的 中 间 件 。 支 持 组 件 的 中 间 件 可 以 有 效 地 处 理 低层 的 问题 ， 并 允许 我 们 集中 精力 
来 处 理 与 应 用 相关 的 问题 。 此 外 ， 支 持 组 件 的 中 间 件 可 以 提供 对 资源 分 配 、 事 务 管理 、 信 息 安全 
及 并 发 的 支持 。 

4. 开发 过 程 是 一 种 适应 于 基于 组 件 的 软件 工程 的 开发 过 程 。 你 需要 一 个 开发 过 程 ， 它 允许 
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根据 可 用 的 组 件 功能 对 需求 进化 。17. 2 节 将 讨论 CBSE 的 开发 过 程 。 


© CBSE 问题 


CBSE 现在 是 软件 工程 中 的 主流 方法 一 一 它 是 建立 一 个 系统 的 好 的 方法 。 然 而 ， 当 作为 复 
用 的 方法 使 用 时 ， 尤 其 是 当 它 们 和 其 他 的 组 件 整合 时 。 问 题 包括 组 件 诚信 ， 组 件 验 证 ， 需 求 
折 中 和 预测 组 件 的 属性 。 
http ://www. SoftwareEngineering-9. com/Web/CBSE/ problems. html 


基于 组 件 的 开发 体现 了 和 良好 的 软件 工程 实践 。 它 不 仅 对 于 使 用 组 件 来 设计 系统 是 有 意义 的 ， 
即使 你 不 是 复 用 这 些 组 件 ， 而 是 开发 这 些 组 件 ， 也 是 很 有 意义 的 。 基 本 的 CBSE 是 支持 构造 易 理 
解 和 可 维护 软件 的 可 靠 和 有 效 的 设计 原则 : 

1. 组 件 是 独立 的 ， 因 此 它们 不 会 影响 彼此 的 操作 。 组 件 实现 的 细节 是 隐藏 的 。 组 件 的 实现 
的 改变 可 以 不 影响 系统 其 他 部 分 。 

2. 组 件 通过 良好 定义 的 接口 进行 交互 ， 如 果 这 些 接口 能 得 到 保持 的 话 ， 组 件 便 可 以 更 换 为 
另 一 个 有 更 多 功能 或 由 更 先进 功能 的 组 件 所 替代 。 

3. 组 件 基础 设施 提供 一 系列 可 用 在 应 用 系统 中 的 标准 服务 。 这 个 减少 了 要 开发 的 新 代码 
的 量 。 

CBSE 最 初 的 动机 是 要 支持 复 用 和 分 布 式 软件 工程 。 组 件 被 看 做 是 一 个 软件 系统 的 元 素 ， 它 
可 以 由 在 不 同 的 计算 机 上 运行 的 其 他 组 件 使 用 远程 过 程 调 用 机 制 来 访问 。 每 个 系统 复 用 一 个 组 
件 必须 包含 其 该 部 分 的 副本 。 这 种 组 件 的 概念 扩大 了 分 布 式 对 象 的 概念 ， 如 在 分 布 式 系 统 模 型 
的 定义 ， 如 CORBA 的 资料 参考 (Pope, 1997), 已 经 开发 了 几 种 不 同 的 协议 和 标准 支持 这 一 组 
件 观点 ， 例 如 Sun 公司 的 EJB， 微 软 的 COM 和 .NET，CORBA 的 CCM (Lau 和 Wang，2007)。 

实际 上 ， 这 些 多 重 标准 阻碍 了 CBSE 的 采用 。 对 于 开发 的 组 件 来 说 ， 使 用 不 同 的 方法 来 共同 
工作 是 不 可 能 的 。 针 对 不 同 的 平台 开发 的 组 件 ， 例 如 . NET 或 J2EE， 不 能 互 操 作 。 而 且 ， 提 议 的 
这 些 标 准 和 协议 非常 复杂 ， 很 难 理解 。 这 也 是 采用 组 件 的 一 个 障碍 。 

针对 这 些 问 题 ， 发 展 了 组 件 作 为 一 项 服务 的 概念 和 提出 这 些 标准 来 支持 面向 服务 的 软件 工 
程 。 作 为 一 项 服务 的 组 件 和 组 件 的 原始 概念 之 间 最 大 的 不 同 之 处 是 ， 服 务 是 独立 的 实体 ， 在 使 用 
它们 的 程序 的 外 部 存在 。 当 你 创建 一 个 面向 服务 的 系统 时 ， 你 是 引用 外 部 服务 ， 而 不 是 在 你 的 系 
统 中 包含 进 一 个 该 服务 的 拷贝 。 

面向 服务 的 软件 工程 在 第 19 章 中 讨论 ， 因 此 是 一 种 基于 组 件 类 型 的 软件 工程 。 相 比 原 先 在 
CBSE 中 建议 的 来 说 ， 它 使 用 了 更 简单 的 组 件 概念 。 从 开始 ， 它 就 已 经 是 由 标准 来 驱动 的 。 在 这 
样 的 情况 下 ， 即 基于 COTS 的 复 用 是 不 切实 际 的 时 候 ， 面 向 服务 的 CBSE 对 于 业务 系统 的 开发 来 
说 ， 逐 渐变 成 了 主要 的 方法 。 


17.1 组 件 和 组 件 模型 


在 CBSE 业界 ， 一 般 观 点 认为 组 件 是 一 个 独立 的 软件 单位 ， 可 以 与 其 他 组 件 构成 新 的 软件 系 
统 。 然 而 ， 不 同 的 人 对 软件 组 件 提 出 了 不 同 的 定义 。Council 和 Heineman (2001) 将 组 件 定义 为 ; 

组 件 是 一 种 软件 元 素 ， 与 某 个 组 件 模型 要 求 相 一 致 ， 按 照 组 成 标准 无 需 修改 即 可 独立 进行 
部 署 和 组 合 。 

这 个 定义 实质 上 是 基于 标准 的 一 一 遵循 这 些 标 准 的 软件 单元 即 为 一 个 组 件 。 然 而 ，Szyperski 
(Szyperski, 2002) 关于 组 件 的 定义 却 并 不 提 及 标准 ， 而 是 将 重点 放 在 了 组 件 的 关键 特征 上 : 
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组 件 是 具有 合同 定义 的 接口 和 显 式 的 上 下 文 依赖 ， 可 独立 进行 部 署 的 并 服从 于 第 三 方 的 组 
“ 成 的 软件 单元 。 

这 两 个 定义 都 是 基于 组 件 作 为 一 个 元 素 的 概念 ， 它 是 包含 在 一 个 系统 中 ， 而 不 是 把 组 件 作 
为 一 项 服务 被 系统 引用 。 然 而 ,它们 还 是 和 服务 作为 一 个 组 件 的 概念 相 兼 容 的 。 

Szyperski 同时 指出 组 件 没 有 从 外 部 可 观察 的 状态 。 这 意味 着 组 件 的 拷贝 彼此 是 很 难 区 分 的 。 
然而 ， 一 些 组 件 模型 ， 例 如 企业 Java Beans 模型 允许 有 状态 的 组 件 。 因 此 这 些 与 Szyperski 的 组 件 
定义 不 一 致 。 虽 然 无 状态 的 组 件 使 用 起 来 更 简单 ， 但 是 存在 一 些 系统 ， 有 状态 的 组 件 的 使 用 更 加 
方便 ， 并 且 减 少 了 系统 的 复杂 性 。 

上 面 定义 的 共同 性 在 于 它们 都 认为 组 件 是 独立 的 并 且 是 系统 最 基本 的 组 成 单元 ， 通 过 组 合 这 些 
定义 我 们 可 以 得 出 组 件 的 一 个 更 好 的 定义 。 图 17-1 所 示 为 用 于 CBSE 的 组 件 的 最 重要 的 特征 。 





描 OR 


组 件 标准 化 意味 着 使 用 在 CBSE 过 程 中 的 组 件 必须 符合 某 种 标准 化 的 组 件 模型 。 此 
模型 会 定义 组 件 接口 、 组 件 元 数据 、 文 档 管理 、 组 成 以 及 部 团 


组 件 应 该 是 独立 的 ， 它 应 该 可 以 在 无 其 他 特殊 组 件 的 情况 下 进行 组 合 和 部 署 。 如 果 
在 某 些 情况 下 组 件 需要 外 部 提供 的 服务 ， 应 该 在 “需要 ”接口 描述 中 显 式 地 声明 


对 于 可 组 合 的 组 件 ， 所 有 外 部 交互 必须 通过 公开 定义 的 接口 进行 。 另 外 ， 它 还 必须 
提供 对 自身 信息 的 外 部 访问 ， 例 如 它 的 方法 和 属性 
为 使 之 可 部 署 ， 组件 需要 是 自 包含 的 , 它 必 须 是 能 作为 一 个 独立 实体 在 提供 其 组 件 


模型 实现 的 组 件 平台 上 运行 。 因 而 意味 着 组 件 总 是 二 进 制 形式 的 且 无 需 在 部 署 前 编译 。 
如 果 一 个 组 件 实现 为 一 项 服务 ， 它 不 必 由 用 户 来 部 署 ， 而 是 由 服务 的 提供 者 来 部 团 


组 件 必须 是 完全 文档 化 的 ， 这 样 所 有 用 户 能 确定 是 否 组 件 满足 他 们 的 需要 。 应 该 定 
义 所 有 组 件 接 口 的 语法 甚至 语义 
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图 17-! 组 件 特性 


考察 一 个 组 件 有 用 的 方法 是 将 其 看 成 独立 的 服务 供应 者 。 当 系统 需要 某 一 服务 时 ， 会 调用 
提供 相应 服务 的 组 件 ， 无 需 知道 此 组 件 位 于 何 处 ， 也 无 需 知道 该 组 件 是 用 什么 程序 语言 开发 的 。 
例如 ， 图 书馆 系统 中 的 组 件 可 能 提供 搜索 功能 ， 人 允许 用 户 搜索 不 同 图 书馆 的 目录 ;从 一 个 图 形 格 
式 变换 到 另 一 个 图 形 格式 的 组 件 〈 如 从 TIFF 格式 到 JPEG 格式 ) 可 提供 数据 转换 功能 。 

将 组 件 看 成 是 服务 提供 者 ， 强 调 的 是 可 复 用 组 件 的 两 个 关键 特性 : 

1. 组 件 是 独立 可 执行 的 实体 ， 这 是 由 它 的 接口 定义 的 。 你 不 必 知 道 组 件 的 源 代码 的 任何 信 
息 来 使 用 它 。 它 可 能 作为 一 种 外 部 服务 来 引用 ， 也 可 能 直接 包含 在 一 个 程序 中 。 

2. 组 件 所 提供 的 服务 可 以 通过 其 接口 得 到 ， 而 且 所 有 的 交互 都 是 通过 接口 实现 的 。 组 件 接 
口 表现 为 参数 化 的 过 程 ， 其 内 部 状态 是 不 会 暴露 出 来 的 。 












组 件 和 对 象 
组 件 通常 是 用 面向 对 象 语言 实现 的 。 在 某 些 情况 下 ， 对 组 件 “ 提 供 ” 接 口 的 访问 是 通过 
方法 调用 进行 的 。 然 而 ， 组件 和 对 象 类 是 两 回 事 。 不 像 对 象 类 ,组件 是 可 以 独立 部 署 的 ， 不 
定义 类 型 ， 是 语言 无 关 的 ， 同 时 它 基 于 标准 的 组 件 模型 。 

http://www. SoftwareEngineering-9. com/Web/CBSE/ objects. html 


组 件 有 两 种 关联 接口 ， 如 图 17-2 所 示 。 这 些 接口 反映 了 组 件 提供 的 服务 和 组 件 进行 正确 操 
作 所 需要 的 服务 。 
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需要 接口 提供 接口 


定义 自身 所 需要 AO ... 
定义 能 向 其 他 
的 由 其 他 组 件 所 Component O 组 件 提供 的 最 务 
图 17-2 ”组件 接口 


1. 提供 接口 定义 了 组 件 所 提供 的 服务 。 这 个 接口 主要 是 组 件 的 API。 它 定义 了 组 件 用 户 可 以 
调用 的 方法 。 在 一 个 UML 组 件 图 中 ,组 件 提供 接口 用 一 个 圆 图 表示， 圆圈 在 始 于 组 件 图 标的 一 - 
条 线段 的 尾 端 。 

2. 需要 接口 如 果 一 个 组 件 要 进行 正确 的 操作 ， 指 定 系统 其 他 组 件 必须 提供 哪些 服务 。 如 果 
这 些 服务 不 能 实现 组 件 将 无 法 工作 。 这 并 不 影响 组 件 的 独立 性 或 部 署 性 ， 因 为 “需要 ”接口 没 
有 定义 如 何 提 供 这 些 服 务 。 在 UML 中 ， 一 个 “需要 ”接口 的 标志 是 用 一 个 半圆 形 来 表示 ， 半 贺 
位 于 始 于 组 件 图 标的 一 条 线段 的 尾 端 。 注 意 : 提供 接口 和 需要 接口 图 标 相配 如 同 球 和 球 洞 。 

为 了 说 明 这 些 接 口 ， 图 17-3 是 一 个 组 件 模型 ， 这 是 一 个 收集 和 比较 来 自传 感 器 阵列 信息 的 
组 件 。 它 过 一 段 时 间 就 自动 收集 数据 ， 然 后 根据 请 求 为 调用 组 件 提供 比较 后 的 数据 。 提 供 接 口 包 
括 对 传感器 进行 添加 、 移 动 、 开 始 、 停 止 和 测试 等 方法 ， 报 告 方法 返回 收集 的 传 感 数据 ，listal 
方法 提供 所 有 连接 的 传感器 的 信息 。 尽 管 在 这 里 没有 给 出 ， 但 这 些 方法 自然 地 有 相关 联 的 参数 ， 
如 定义 传感器 位 置 等 。 

需要 接口 提供 接口 
=H] © addSensor 


sensorManagement © startSensor 
Data Collector 













sensoData O initialize 


图 17-3 数据 采集 器 组 件 的 模型 


“需要 ”接口 是 用 来 将 组 件 连 接 到 传感器 上 的 。 它 假设 传感器 有 一 个 数据 接口 (通过 sensor- 
Data 访问 ) 和 一 个 管理 接口 (通过 sensorManagement 访问 ) 。 这 个 接口 的 设计 是 用 来 连接 不 同类 
型 的 传感器 ， 因 而 它 就 不 能 包括 像 Test 和 provideReading 等 这 样 的 特殊 的 传感器 操作 。 相 反 ， 一 
个 特定 类 型 的 传感器 操作 使 用 的 命令 嵌 人 在 一 个 字符 串 中 ， 这 个 字符 串 是 “需要 ”接口 中 操作 
的 参数 。 适 配器 组 件 解析 这 个 字符 串 并 翻译 成 嵌 人 的 命令 到 每 个 类 型 传感器 的 具体 控制 接口 中 。 
本 章 后 面 将 介绍 适配器 的 用 法 ， 以 及 收集 器 组 件 是 怎样 连接 到 适配器 上 的 〈 见 图 17-12) 。 

作为 一 项 外 部 服务 的 组 件 和 作为 一 个 程序 的 元 素 的 组 件 主要 的 不 同 之 处 是 ， 服 务 是 完全 独 
立 的 实体 。 它 们 没有 “和 需要” 接口。 不同 的 程序 可 以 使 用 这 些 服 务 ， 而 无 需 实现 任何 服务 所 需 
的 额外 支持 。 


组 件 模型 


组 件 模 型 定义 了 组 件 实现 、 文 档 化 及 开发 的 标准 。 这 些 标准 是 为 组 件 开 发 者 确保 组 件 的 互 
操作 性 而 设立 的 。 它 们 也 是 为 那些 提供 中 间 件 的 组 件 执行 基础 设施 的 供应 商 支持 组 件 操作 而 设 
立 的 。 目 前 已 经 提出 了 许多 的 组 件 模型 ， 但 是 最 重要 的 组 件 模 型 是 现在 的 WebServices 模型 ，Sun 
公司 的 企业 Java Bean HAY (EJB) 和 微软 的 . Net 模型 (Lau 和 Wang, 2007), 

Weinreich 和 Sametinger 讨论 了 一 个 理想 组 件 模 型 的 基本 要 素 〈 Weinreich 和 Sametinger, 
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2001) 。 图 17-4 总 结 了 这 些 模型 要 素 。 该 图 说 明 ， 组 件 模 型 的 要 素 定义 组 件 接口 ， 人 们 在 程序 中 
使 用 组 件 需 知道 的 信息 ， 以 及 组 件 应 该 如 何 部 署 。 

l 接口 ”组件 是 通过 它们 的 接口 来 定义 的 。 组 件 模型 规定 应 如 何 定义 组 件 接口 及 在 接口 定 
义 中 应 该 包括 的 要 素 ， 如 操作 名 、 参 数 及 异常 等 。 模 型 同时 需 指 定 用 于 定义 组 件 接口 的 语言 。 对 
于 Web 服务 来 说 ， 这 是 WSDL， 将 在 第 19 章 中 讨论 ; EJB Java 专 有 的 ， 所 以 Java 可 用 于 作为 
接口 定义 语言 (IDL); 在 . NET 中 ， 接 口 是 使 用 一 般 的 中 间 语 言 (CIL) 来 定义 的 。 一 些 组 件 模 
型 要 求 必须 由 组 件 定义 专门 的 接口 。 这 些 接 口 用 来 与 提供 如 安全 性 和 事务 管理 等 标准 化 服务 的 
组 件 模 型 基础 设施 一 起 构成 组 件 。 . 

2. 使 用 ”为 使 组 件 远程 分 布 和 访问 ， 需 要 给 组 件 一 个 特定 的 名 字 或 句柄 。 这 个 必须 是 全 球 
唯一 的 一 一 在 EJB 中 ， 有 一 个 层次 化 的 和 名字， 其 根 是 基于 因特网 域名 的 。 服 务 有 一 个 唯一 的 
URL (统一 资源 标识 符 ) 。 

组 件 元 数据 是 组 件 本 身 相 关 的 数据 ， 如 组 件 的 接口 和 属性 信息 。 元 数据 非常 重要 ， 用 户 可 通 
过 元 数据 发 现 组 件 提供 的 和 所 要 的 服务 。 组 件 模型 的 实现 通常 包括 访问 组 件 的 元 数据 的 特定 方 
法 (如 Java 中 所 使 用 的 反射 接口 ) 。 

组 件 是 通用 实体 ， 在 部 署 的 时 候 ， 必 须 对 组 件 进行 配置 来 适应 一 个 应 用 系统 。 例 如 ， 图 17.3 
所 示 的 数据 采集 器 组 件 需要 根据 传感器 阵列 所 限定 的 最 多 数量 进行 定制 。 因 此 ， 组 件 模型 应 该 
指定 如 何 配置 二 进 制 组 件 使 其 适应 特定 的 部 署 环境 。 

3. 部 署 组 件 模型 包括 一 个 描述 ， 此 描述 说 明 应 该 如 何 打 包 组 件 使 其 部 署 成 为 一 个 独立 的 
可 执行 实体 。 由 于 组 件 是 独立 的 实体 ， 所 以 它们 必须 与 所 有 支持 软件 打包 在 一 起 ， 这 些 软 件 包 括 
组 件 基础 设施 所 不 提供 的 以 及 需要 接口 未 定义 的 那些 。 部 署 信息 包括 有 关 包 中 内 容 的 信息 和 它 
的 二 进 制 构成 的 信息 。 

不 可 避免 的 是 ， 当 出 现 新 的 需求 ， 组 件 就 必须 做 出 改变 或 者 被 替代 。 因 此 ， 组 件 模型 应 包括 
允许 何 时 和 怎样 替换 组 件 的 控制 规则 。 最 后 ， 组 件 模 型 应 定义 应 该 产生 的 组 件 文档 。 这 可 以 用 于 
查找 组 件 和 决定 组 件 是 否 适 当 。 


定制 





图 17-4 ”组件 模型 的 基本 要 素 


对 于 实现 为 程序 单元 而 不 是 外 部 服务 的 组 件 来 说 ， 该 组 件 模型 规定 了 必须 由 支持 组 件 执行 
的 中 间 件 所 提供 的 服务 。Weinreich 和 Sametinger (2001) 利用 操作 系统 类 比 来 解释 组 件 模型 。 操 
作 系统 提供 一 组 可 被 应 用 使 用 的 通用 服务 。 组 件 模型 实现 提供 类 似 的 共享 的 服务 给 组 件 。 图 17.5 
给 出 了 由 组 件 模型 实现 提供 的 某 些 服务 。 

组 件 模型 实现 提供 的 服务 包括 以 下 两 种 : 

1 平台 服务 。 人 允许 组 件 在 分 布 式 环境 下 通信 和 互 操作 。 在 所 有 的 基于 组 件 的 系统 中 ， 这 些 
是 必须 有 的 基本 服务 。 

2. 水 平 服务 。 这 些 是 一 般 服 务 ， 可 以 被 很 多 不 同 的 组 件 所 使 用 。 例 如 ,许多 组 件 需要 身份 
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验证 ， 以 确保 组 件 服务 的 用 户 已 被 授权 。 为 所 有 组 件 使 用 提供 一 组 标准 的 中 间 件 服务 是 有 意义 
的 。 这 些 服务 的 可 用 性 降低 了 组 件 开 发 的 成 本 ， 而 且 意 味 着 潜在 的 组 件 间 不 兼容 性 可 以 避免 。 


组 件 管理 事务 管理 
并 发 持久 性 


寻 址 EDEN 异常 管理 组 件 通信 [| 


E 17-5 由 组 件 模型 提供 的 服务 
中 间 件 实现 组 件 服务 ， 并 提供 这 些 服务 的 接口 。 为 利用 组 件 模 型 基础 设施 所 提供 的 服务 ， 你 
可 以 认为 组 件 被 部 署 在 一 个 容器 中 。 容 器 是 支持 服务 的 一 个 实现 ， 加 上 组 件 必须 提供 使 之 和 容 
器 整合 在 一 起 的 接口 定义 。 将 组 件 包含 在 容器 中 意味 着 组 件 可 以 访问 支持 服务 和 容器 可 以 访问 组 
件 接口 。 在 使 用 时 ， 组 件 接口 本 身 不 能 被 其 他 组 件 直接 访问 ; 它们 通过 一 个 容器 接口 进行 访问 。 
容器 接口 启动 代码 访问 柑 入 的 组 件 的 接口 。 


17.2 CBSE 过 程 


CBSE 过 程 是 支持 基于 组 件 的 软件 工程 的 软件 过 程 。 它 们 考虑 了 复 用 的 可 能 性 ， 以 及 在 开发 
和 使 用 可 复 用 的 组 件 中 所 涉及 的 不 同 的 过 程 活动 。 图 17-6 (Kotonya, 2003) 给 出 了 一 个 CBSE 
中 过 程 的 概览 。 从 最 高 层次 来 说 ， 存 在 两 种 类 型 的 CBSE 过 程 : 

1 面向 复 用 的 开发 ”这 个 过 程 是 开发 将 被 复 用 在 其 他 应 用 程序 中 的 组 件 或 服务 。 它 通常 是 
对 已 存在 的 组 件 进行 一 般 化 处 理 。 

2 基于 复 用 的 开发 ”这 个 过 程 是 复 用 已 存在 的 组 件 和 服务 来 开发 新 的 应 用 程序 的 过 程 。 

这 些 过 程 有 不 同 的 目标 ， 因 此 包括 不 同 的 活动 。 在 面向 复 用 的 开发 过 程 中 ， 目 标 是 产生 一 个 
或 多 个 可 复 用 的 组 件 。 你 必须 了 解 你 将 使 用 的 组 件 和 你 必须 访问 它们 的 源 代 码 来 将 它们 一 般 化 。 
在 基于 复 用 的 开发 过 程 中 ， 你 不 知道 什么 样 的 组 件 是 可 用 的 ， 因 此 你 需要 去 发 现 这些 组 件 ， 然 后 
最 有 效 地 利用 这 些 组 件 来 设计 你 的 系统 。 你 可 能 不 必 访 问 组 件 的 源 代码 。 你 可 以 从 图 17-6 看 到 ， 
基于 复 用 和 面向 复 用 的 基本 CBSE 过 程 支持 那些 与 组 件 获得 、 组 件 管理 和 组 件 认证 有 关 的 过 程 : 


CBSE 过 程 











图 17-6 CBSE 过 程 
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1. 组 件 获 得 是 得 到 面向 复 用 的 组 件 或 开发 成 一 个 可 复 用 的 组 件 的 过 程 。 它 可 能 涉及 获得 内 
部 开发 的 组 件 或 服务 ， 或 从 外 部 资源 找到 这 些 组 件 。 

2. 组 件 管理 是 有 关 管 理 一 个 企业 的 可 复 用 的 组 件 ， 以 确保 它们 得 以 正确 分 类 和 存储 ， 使 面 
向 复 用 成 为 可 能 。 

3. 组 件 认证 是 检查 组 件 和 证 实 这 个 组 件 符合 它 的 描述 的 过 程 。 

一 个 机 构 所 持 有 的 组 件 可 能 会 存储 在 组 件 容器 中 ， 其 中 包括 组 件 和 它们 的 使 用 信息 。 


17.2.1 面向 复 用 的 CBSE 


面向 复 用 的 CBSE 是 开发 可 复 用 的 组 件 和 通过 一 个 组 件 管理 系统 使 对 它们 的 复 用 成 为 可 能 的 
过 程 。 早 期 的 CBSE 的 支持 者 (Szyperski, 2002) 的 观点 是 要 发 展 一 个 繁荣 的 组 件 市 场 。 那 将 有 
专门 的 组 件 供应 商 和 组 件 厂商 ， 他 们 根据 不 同 的 开发 商 来 组 织 组 件 的 售 价 。 软 件 开发 商 将 要 购 
买 组 件 来 包含 在 系统 中 或 是 为 使 用 他 们 的 服务 付费 。 然 而 ， 这 个 观点 并 没有 变 成 现实 。 目 前 存在 
相当 少 的 组 件 供应 商 ， 购 买 组 件 也 是 很 少见 的 。 在 编写 本 书 时 ， 服 务 市 场 也 没有 发 展 起 来 ,虽然 
预测 在 接 下 来 的 几 年 会 有 相当 大 扩展 。 

结果 ， 面 向 服务 的 CBSE 最 有 可 能 发 生 在 一 个 机 构 中 ， 它 已 允诺 复 用 驱动 的 软件 工程 。 他 们 
希望 利用 在 公司 内 不 同 部 门 中 开发 的 软件 资源 。 然 而 ， 这 些 内 部 开发 的 组 件 如 果 不 改 变 ， 通 常 是 
不 可 复 用 的 。 它 们 经 常 包含 具体 应 用 程序 的 特征 和 接口 ， 这 些 在 其 他 的 组 件 复 用 的 程序 中 可 能 
是 不 需要 的 。 

为 了 使 组 件 可 复 用 ， 要 改写 和 拓展 这 些 组 件 以 创建 更 通用 的 、 更 适合 复 用 的 版 本 。 显 然 ， 这 
有 一 个 相关 的 成 本 问题 。 首 先 ， 必 须 决 定 组 件 是 否 可 能 复 用 。 其 次 ， 未 来 复 用 节约 的 成 本 是 否 能 
抵 得 上 使 组 件 可 复 用 的 成 本 。 

为 回答 第 一 个 问题 ， 必 须 决定 是 否 组 件 实 现 一 个 或 多 个 稳定 的 领域 抽象 。 稳 定 的 领域 抽象 
是 应 用 领域 中 变化 缓慢 的 基本 概念 。 例 如 在 银行 系统 中 ， 领 域 抽 象 包括 账户 、 账 户 持 有 者 和 账 
目 。 在 医院 管理 系统 中 ， 领 域 抽象 可 能 包括 病人 、 治 疗 和 护士 。 这 些 领 域 抽 象 有 时 称 为 业务 对 
象 。 如 果 组 件 是 对 普遍 使 用 的 领域 抽象 或 是 一 组 相关 对 象 的 实现 ， 它 大 概 就 可 能 被 复 用 。 

为 回答 有 关 成 本 问题 ， 必 须 评估 需要 使 组 件 可 复 用 而 需要 进行 的 变更 的 成 本 。 这 些 成 本 包 
括 组 件 文档 的 成 本 、 组 件 可 靠 性 验证 的 成 本 及 使 组 件 更 泛 化 的 成 本 。 可 提高 组 件 可 复 用 性 的 变 
更 包括 : 

m 去 除 那些 应 用 特定 的 方法 ; 

m 更 名 使 其 更 通用 ; 

u 添加 方法 提供 更 完备 的 功能 覆盖 ; 

n 为 所 有 方法 构造 一 致 的 异常 处 理 过 程 ; 

w 添加 “配置 ”接口 允许 对 组 件 进 行 调整 以 适应 不 同 的 使 用 情况 ; 

m 集成 所 需要 的 组 件 以 增强 独立 性 。 

异常 处 理 是 一 个 十 分 困难 的 问题 。 原 则 上 ， 所 有 异常 应 该 作为 组 件 接口 的 一 部 分 。 组 件 不 应 
该 处 理 自身 的 异常 ， 因 为 每 个 应 用 程序 都 有 自己 对 异常 处 理 的 需求 。 更 确切 地 说 ， 组 件 应 定义 哪 
些 是 会 产生 的 异常 并 将 之 发 布 作为 接口 的 一 部 分 。 例 如 ， 有 一 个 实现 堆栈 数据 结构 的 简单 组 件 ， 
应 检测 和 发 布 栈 上 溢 和 下 溢 的 异常 。 然 而 实际 情况 是 ， 这 里 存在 两 个 问题 : 

L 发 布 所 有 的 异常 将 导致 太 多 的 接口 ， 这 将 更 加 难以 理解 。 这 可 能 会 丢掉 组 件 的 潜在 用 户 。 

2. 组 件 的 运行 可 能 依靠 局 部 异常 处 理 ， 改 变 它 将 严重 影响 组 件 的 功能 。 

Mili 等 人 (2002) 讨论 了 对 制造 可 复 用 组 件 的 成 本 及 投资 所 能 带 来 的 利润 进行 估计 的 方法 。 
复 用 组 件 较 之 重新 开发 组 件 不 仅仅 是 生产 率 问题 ， 还 包括 质量 收益 。 因 为 可 复 用 组 件 更 可 靠 , H 
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具有 市 场 时 效 性 。 这 些 额外 的 收益 来 自 于 更 快速 地 部 署 软件 。Mili 等 提出 各 种 不 同 公式 估算 这 些 
收益 ， 正 如 第 23 章 中 COCOMO 模型 讨论 的 那样 (Boehm 等 ，2000) 。 然 而 ， 这 些 公式 的 参数 很 
难 准确 估计 ， 并 且 公 式 必 须根 据 具体 环境 进行 调整 ， 使 得 使 用 它们 很 困难 。 作 者 怀疑 极 少 有 软件 
项 目 管理 者 使 用 这 些 模 型 去 估计 从 组 件 可 复 用 性 的 投资 中 得 到 的 回报 。 

显然 ， 一 个 组 件 是 否 可 复 用 依赖 于 它 的 应 用 领域 和 功能 性 。 当 我 们 使 组 件 具有 更 多 的 通 性 
的 时 候 其 可 复 用 性 也 在 提高 。 然 而 ， 这 也 使 得 组 件 具 有 更 多 的 操作 ， 更 为 复杂 ， 更 难以 理解 和 
使 用 。 

组 件 的 可 复 用 性 与 组 件 的 可 用 性 之 间 不 可 避免 的 需要 折 中 。 为 了 使 组 件 可 复 用 ， 你 必须 提 
供 一 组 通用 接口 和 操作 ， 以 满足 组 件 的 所 有 可 能 的 使 用 方式 。 使 组 件 可 用 ， 即 提供 简单 、 最 小 的 
易 理 解 的 接口 。 可 复 用 性 增加 了 复杂 性 ， 同 时 也 降低 了 组 件 的 可 理解 性 。 因 而 决定 何 时 和 怎样 复 
用 组 件 是 很 困难 的 事情 。 因 此 在 设计 可 复 用 组 件 时 ， 你 必须 找到 通用 性 与 可 理解 性 之 间 的 折 
中 点 。 

组 件 的 另 一 潜在 的 来 源 是 现存 的 遗留 系统 。 如 第 9 章 所 讨论 的 ， 这 些 系统 完成 了 很 重要 的 业 
务 功能 ,但 却 是 用 过 时 的 软件 技术 编写 的 。 所 以 很 难 将 之 与 新 系统 一 起 使 用 。 但 如 果 将 这 些 旧 系 
统 转化 成 组 件 ， 它 们 的 功能 就 可 以 在 新 的 应 用 中 使 用 了 。 

当然 ， 这 些 遗 留 系 统 通常 没有 清晰 定义 的 需要 和 提供 接口 。 为 使 这 些 组 件 可 复 用 ， 我 们 必须 
对 它 进行 封装 ， 由 此 定义 组 件 的 接口 。 该 封装 将 原 代码 的 复杂 性 隐藏 了 起 来 ， 并 为 外 部 组 件 访问 
的 服务 提供 了 接口 。 虽 然 此 封装 就 是 一 个 相当 复杂 的 软件 ， 因 为 它 必 须 访问 遗留 系统 的 功能 。 然 
而 ， 对 封装 的 开发 成 本 通常 远 低 于 对 遗留 系统 重新 实现 的 成 本 。 第 19 章 将 更 加 详细 地 介绍 这 个 
方法 ， 并 解释 是 如 何 通 过 服务 访问 一 个 遗留 系统 中 的 特征 的 。 

一 旦 你 开发 和 测试 一 个 可 复 用 的 组 件 或 服务 ， 必 须 为 今后 的 再 利用 来 管理 这 个 组 件 或 服务 。 
管理 包括 如 何 对 组 件 进行 分 类 ， 才 可 以 发 现 它 ， 使 现 有 的 组 件 是 可 用 的 ， 或 者 在 储存 库 中 或 作为 
一 个 服务 ， 维 护 有 关 组 件 的 使 用 信息 和 保存 不 同 的 组 件 版 本 的 记录 。 如 果 这 个 组 件 是 开源 的 ， 你 
可 以 在 一 个 公开 的 储存 库 中 使 它 成 为 可 用 的 ， 例 如 Sourceforge。 如 果 是 计划 在 公司 使 用 ， 你 可 能 
要 使 用 一 个 内 部 的 存储 系统 。 

做 复 用 项 目的 公司 在 组 件 成 为 可 复 用 组 件 之 前 ， 要 执行 某 种 形式 的 组 件 认 证 。 认 证 意味 着 
除了 开发 者 之 外 ， 可 能 有 些 人 要 检查 这 个 组 件 的 质量 。 在 组 件 成 为 可 复 用 组 件 之 前 ， 他 们 测试 它 
以 确保 达到 一 个 可 以 接受 的 质量 标准 。 然 而 ， 这 可 能 是 个 非常 昂贵 的 过 程 ， 并 且 许多 公司 简单 地 
将 测试 和 质量 检查 留 给 组 件 的 开发 者 。 


17.2.2 基于 复 用 的 CBSE 


成 功 的 组 件 复 用 需要 一 个 适合 于 CBSE 的 开发 过 程 。 基 于 复 用 的 CBSE 过 程 必须 包括 搜索 和 
整合 可 复 用 的 组 件 。 这 种 过 程 的 结构 在 第 2 章 讲 过 ; 图 17-7 给 出 了 在 CBSE 过 程 中 主要 子 活动 。 
这 个 过 程 中 的 某 些 活动 ， 如 用 户 需求 的 最 初 发 现 ， 其 执行 方式 与 在 其 他 软件 过 程 中 的 执行 方式 
是 相同 的 。 然 而 ， 基 于 复 用 的 CBSE 与 先前 的 软件 开发 过 程 之 间 的 主要 不 同 在 于 : 

L 最 初 对 用 户 需求 的 开发 只 需要 是 概要 性 的 而 不 要 是 十 分 详细 的 ， 且 鼓励 信息 持 有 者 在 定 
义 他 们 的 需求 时 能 尽 可 能 地 灵活 。 太 特殊 的 需求 限制 了 能 满足 这 种 需求 的 组 件数 量 。 然 而 ， 不 像 
增 量 式 开发 ,我 们 需要 完全 的 需求 ， 这 样 我 们 就 能 尽 可 能 多 地 识别 出 可 复 用 的 组 件 。 

2. 在 过 程 的 早期 阶段 根据 可 利用 的 组 件 来 细 化 和 修改 需求 。 如 果 可 利用 的 组 件 不 能 满足 用 
户 需 求 ， 就 应 考虑 相关 的 能 被 支持 的 需求 。 如 果 这 意味 着 能 节省 开支 且 能 快速 地 开发 系统 ， 或 许 
用 户 愿意 改变 想法 。 

3. 在 系统 体系 结构 设计 完成 后 ， 会 有 一 个 进一步 的 对 组 件 搜索 及 设计 精练 的 活动 。 一 些 似 
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乎 可 用 的 组 件 会 变 得 不 合适 或 不 能 与 其 他 已 选 组 件 一 起 正常 工作 。 尽 管 图 17-7 中 没有 表示 出 来 ， 
这 意味 着 进一步 的 需求 变更 是 必要 的 。 

4. 开发 就 是 将 已 发 现 的 组 件 集成 在 一 起 的 组 成 过 程 。 其 中 包括 将 组 件 与 组 件 模 型 基础 设施 
集成 在 一 起 ， 有 时 ,包括 开发 适配器 来 协调 不 匹配 的 组 件 的 接口 。 当 然 ， 除 了 可 用 组 件 所 提供 的 


功能 外 还 可 能 需要 添加 其 他 的 功能 。 


系统 需求 概览 
体系 结构 设计 上 识别 候选 组 件 | RR | 


图 17-7 基于 复 用 的 CBSE 过 程 


体系 结构 设计 阶段 特别 重要 ，Jacobsen 等 (1997) 发 现 定义 一 个 鲁 棒 的 体系 结构 对 于 成 功 的 
复 用 具有 决定 性 的 意义 。 在 这 个 体系 结构 设计 阶段 ， 你 将 选择 一 个 组 件 模型 和 实现 平台 。 然 而 ， 
许多 公司 有 一 个 标准 的 开发 平台 (例如. NET) ， 因 此 这 个 组 件 模型 是 提前 决定 的 。 如 第 6 章 所 
讲 过 的 ， 你 也 要 建立 系统 的 一 个 高 层 结 构 ， 并 对 系统 的 分 布 和 控制 做 出 决断 。 

CBSE 过 程 的 一 个 独特 活动 是 为 复 用 识别 组 件 或 服务 。 这 包括 一 系列 子 活动 ， 如 图 17-8 所 
示 。 首 先 ， 你 的 注意 力 集中 于 搜集 和 选择 ， 使 自己 相信 有 可 复 用 组 件 能 满足 需求 。 显 然 ， 应 做 些 
初始 的 检查 看 组 件 是 否 合适 ， 但 不 需要 做 详细 测试 。 在 后 期 阶段 ， 在 系统 体系 结构 设计 完成 后 ， 
应 将 更 多 的 时 间 用 于 组 件 的 有 效 性 验证 上 。 你 需要 确信 所 识别 出 的 组 件 真正 适合 你 的 应 用 ， 若 


不 能 ， 就 必须 重复 搜索 和 选择 过 程 。 


图 17-8 组 件 识 别 过 程 


识别 组 件 的 第 一 个 阶段 是 找到 内 部 可 用 的 组 件 或 从 可 靠 的 供销 商 那里 得 到 的 组 件 。 正 如 前 
面 提 到 的 ， 有 相对 较 少 的 组 件 供应 商 ， 因 此 你 最 有 可 能 寻找 已 在 自己 公司 开发 的 组 件 。 软 件 开发 
公司 可 以 建立 他 们 自己 的 可 复 用 组 件 库 ， 而 不 必 冒 险 使 用 外 部 供应 商 的 组 件 。 或 者 ， 你 可 能 决定 
在 Web 上 搜索 源码 库 ， 例 如 Sourceforge 或 Doogle 代码 ， 来 发 现 你 需要 的 这 个 组 件 的 源码 是 否 是 
可 用 的 。 如 果 你 正在 搜索 服务 ， 然 后 有 很 多 具体 的 可 用 的 专门 的 网 络 搜索 引擎 ， 你 就 可 以 发 现 公 
开 的 网 络 服务 。 

一 旦 组 件 搜索 过 程 找到 可 能 的 组 件 ， 你 必须 挑选 出 候选 组 件 。 有 些 情况 下 ， 这 是 个 很 明显 的 
任务 。 列 表 上 的 组 件 直接 实现 用 户 需求 ， 而 没有 竞争 组 件 能 匹配 这 些 需 求 。 然 而 另外 一 些 情 况 
下 ， 选 择 过 程 是 非常 复杂 的 。 组 件 和 需求 之 间 没 有 一 个 清晰 的 映射 关系 ， 你 可 能 发 现 必须 用 多 个 
组 件 才能 满足 一 个 特定 的 需求 或 一 组 需求 。 最 不 利 的 情况 是 ， 满 足 不 同 需求 需要 不 同 的 一 组 组 
件 ， 所 以 你 必须 决定 哪 种 组 件 组 合 能 最 好 地 覆盖 你 的 需求 。 

选取 好 系统 可 能 包含 的 组 件 后 ， 应 对 它们 进行 有 效 性 验证 检查 它们 是 否 像 广告 宣传 的 一 样 。 
有 效 性 验证 的 程度 有 束 于 组 件 来 源 。 如 果 所 用 组 件 是 来 自 熟 悉 的 可 靠 的 厂商 ， 就 没 必要 逐个 测 
试 组 件 性 能 ， 只 需 对 组 件 做 集成 测试 即 可 。 相 反 ， 如 果 使 用 一 个 来 自 不 熟悉 的 供应 商 的 组 件 ， 在 
其 加 入 系统 之 前 必须 坚持 对 其 进行 检查 和 测试 。 
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组 件 有 效 性 验证 包括 对 组 件 开发 一 组 测试 用 例 (或 者 可 能 的 话 ， 拓 展 随 组 件 提供 的 测试 用 
例 ) 并 开发 测试 程序 去 运行 组 件 测试 。 组 件 测试 的 主要 问题 是 ， 组 件 的 描述 可 能 不 够 详细 ， 不 足 
以 允许 你 开发 一 个 全 面 的 组 件 测试 集 。 组 件 的 描述 总 是 非 正规 的 ， 唯 一 标准 的 可 能 就 是 其 接口 
描述 。 这 样 组 件 的 信息 就 不 足以 让 你 开发 完全 的 测试 集合 能 使 你 确信 组 件 的 宣传 的 接口 正 是 你 
所 需要 的 。 

在 测试 可 复 用 组 件 是 你 所 需要 的 同时 ， 你 还 必须 检查 这 个 组 件 不 包括 任何 恶意 的 代码 或 你 
不 需要 的 功能 。 专 业 的 开发 者 很 少 使 用 源 自 不 可 靠 资源 的 组 件 ， 尤 其 是 如 果 这 些 资 源 没有 提供 
源 人 代码。 因此， 恶意 代码 问题 道 常 不 会 发 生 。 然 而 ， 组 件 可 能 通常 包括 你 不 需要 的 功能 ， 你 必须 
检查 这 个 功能 是 否 会 阻碍 这 个 组 件 的 使 用 。 

不 需要 的 功能 的 这 个 问题 可 能 是 组 件 本 身 产 生 的 。 这 个 可 能 使 组 件 变 得 缓慢 ， 导 致 它 产生 
出 乎 意料 的 结果 ,或 者 在 某 种 情况 下 ， 导 致 严重 的 系统 失败 。 图 17.9 总 结 了 一 个 在 复 用 的 系统 
中 那些 不 需要 的 功能 导致 的 灾难 性 的 软件 失败 的 情况 。 


r 








阿坝 亚 娜 5 号 ”运载 火箭 失败 

在 开发 阿 丽 亚 娜 5 号 空间 运载 火箭 的 时 候 ， 设 计 者 决定 复 用 在 阿坝 亚 娜 4 号 中 非常 成 功 的 惯性 参照 系 
软件 。 此 惯性 参照 系 软件 维持 火箭 的 稳定 。 他 们 决定 不 加 改变 地 复 用 此 软件 〈 一 般 人 们 都 会 这 么 做 ) ， 尽 管 
它 包含 了 额外 的 功能 ， 超 出 了 阿 丽 亚 娜 5 号 的 需要 。 

在 阿 丽 亚 娜 5 号 首次 发 射 中 ， 惯 性 导航 软件 在 升 空 后 失败 ， 火 箭 因 而 失去 控制 。 地 面 榨 制 人 员 发 送 指令 
给 火箭 令 其 自 毁 , 于 是 火箭 有 效 载荷 被 摧毁 。 事 后 的 调查 发 现 导致 问题 的 原因 是 某 个 定点 数 到 整数 转换 中 发 生 
了 数 的 溢出 这 是 个 未 处 理 的 异常 。 这 导致 了 运行 系统 关闭 了 惯性 参照 系 系统 。 所 以 火箭 的 稳定 性 得 不 到 维持 。 
此 缺陷 在 阿 丽 亚 娜 4 号 中 没有 发 生 是 因为 它 的 引 获 功率 比较 小 , 所 转换 的 值 不 会 大 到 洲 出 的 程度 。 

缺陷 发 生 在 一 段 阿 丽 亚 娜 5 号 所 不 需要 的 代码 上 。 对 所 复 用 的 软件 的 有 效 性 验证 测试 是 基于 阿 丽 亚 娜 5 号 的 
| 需求 的 。 由 于 对 失败 的 功能 没有 需求 ， 所 以 没有 针对 它 的 测试 。 结 果 是 在 发 射 仿真 测试 中 没有 发 现 软件 中 的 问题 。 








图 17-9 可 复 用 软件 验证 失败 的 例子 


阿坝 亚 娜 5 号 运载 火箭 出 现 问题 是 因为 对 阿 丽 亚 娜 4 号 的 软件 所 做 的 假设 对 于 阿 丽 亚 娜 5 号 
是 不 适用 的 。 这 是 可 复 用 组 件 的 常见 问题 。 它 们 是 最 初 为 某 个 应 用 环境 实现 的 ， 自 然 地 就 嵌入 了 
对 那个 环境 的 假设 。 这 种 假设 很 少 有 记录 ， 困 此 ， 当 组 件 被 复 用 时 ， 不 可 能 导出 测试 来 检查 是 否 
假设 仍然 是 有 效 的 。 如 果 你 在 不 同 的 环境 中 复 用 一 个 组 件 ， 你 可 能 不 会 发 现 内 含 的 环境 假设 ， H 
到 你 在 一 个 运行 系统 中 使 用 这 个 组 件 。 


17.3 组 件 合成 


组 件 合成 是 指 组 件 相互 直接 集成 或 是 用 专门 写 的 “胶水 代码 ”将 它们 整合 在 一 起 来 创造 一 
个 系统 或 另 一 个 组 件 的 过 程 。 合 成 组 件 有 很 多 种 不 同 的 方法 ， 正 如 图 17-10 中 描述 的 那样 。 从 左 
到 右 ， 图 中 分 别 是 顺序 合成 、 层 次 合成 和 番 加 合成 。 在 下 面 的 讨论 中 ， 假 设 使 用 两 个 组 件 (A 和 
B) 来 合成 一 个 新 的 组 件 : 

1. 顺序 合成 是 对 应 于 图 17.104 中 的 情形 。 你 可 以 用 两 个 已 经 存在 的 组 件 来 创造 一 个 新 的 组 
件 ， 通 过 按 顺 序 调用 已 经 存在 的 组 件 。 你 可 以 把 这 个 合成 看 做 是 “提供 接口 ”的 合成 。 也 就 是 
说 ,调用 A 提供 的 服务 ， 然 后 用 A 返回 的 结果 调用 组 件 B 提供 的 服务 。 在 顺序 合成 中 ”组 件 癌 
不 会 相互 调用 。 需 要 特定 的 胶水 代码 来 按照 正确 的 顺序 调用 组 件 服务 以 及 确保 组 件 A 提供 的 结 
果 和 组 件 B 所 期 望 的 输入 相 兼 容 。 组 合 的 “提供 ”接口 依赖 于 A 和 B 的 合并 功能 ， 但 通常 不 是 
它们 的 “提供 接口 ”的 一 个 简单 合成 。 这 种 组 合 的 类 型 可 能 适用 于 作为 程序 元 素 的 组 件 或 是 作 
为 服务 的 组 件 。 
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2. 层次 合成 是 对 应 于 图 17-10b 中 的 情形 。 这 种 情况 发 生 在 一 个 组 件 直 接 调用 由 另 一 个 组 件 
所 提供 的 服务 时 。 被 调用 的 组 件 为 调用 的 组 件 提供 所 需要 的 服务 。 因 此 ， 被 调用 组 件 的 “提供 ” 
接口 必须 和 调用 组 件 的 “需要 ”接口 兼容 。 组件 A 直接 调用 组 件 B， 如 果 它 们 的 接口 相 匹配 ， 
则 组 件 A 可 以 直接 调用 组 件 B， 这 就 不 需要 额外 的 代码 。 然 而 ， 如 果 组 件 A 的 “需要 ”接口 和 
HFB 的 “提供 ”接口 不 匹配 ， 则 需要 一 些 转换 代码 。 因 为 服务 没有 “需要 ”接口 ， 当 组 件 作 
为 网 络 服务 来 实现 时 ， 这 个 合成 模式 是 不 能 使 用 的 。 

3. BEANE AER ETE FR 17-10e 中 的 情形 。 这 种 情况 发 生 在 两 个 或 两 个 以 上 组 件 接合 在 一 起 
^ (EM) 创建 一 个 新 组 件 的 时 候 ， 这 个 新 组 件 合并 了 它们 的 各 自 功能 。 这 个 新 组 件 的 “提供 ” 
接口 和 “需要 ”接口 是 相应 的 组 件 A 和 组 件 B 的 所 各 自 对 应 的 接口 的 一 个 捆绑 。 通 过 合成 组 件 
的 外 部 接口 来 分 别 调用 组 件 A 和 B。A 和 B 不 相互 依赖 ， 也 不 相互 调用 。 这 种 合成 类 型 适合 于 组 
件 是 程序 单元 或 者 组 件 是 服务 的 情形 。 





图 17-10 组 件 合成 类 型 


当 创建 一 个 系统 时 ， 可 能 用 到 所 有 形式 的 组 件 合成 方式 。 对 所 有 情况 ， 你 都 必须 写 “胶水 
代码 ”来 连接 组 件 。 例 如 : 在 顺序 合成 中 ， 组 件 A 的 输出 成 为 组 件 B 的 输入 。 这 就 需要 一 个 中 
间 声 明 来 调用 组 件 A， 收 集结 果然 后 用 该 结果 作为 参数 来 调用 组 件 B。 当 一 个 组 件 调 用 另外 一 个 
组 件 时 ， 你 可 能 需要 引入 一 个 过 渡 组 件 以 确保 “提供 ”接口 和 “需要 ”接口 是 兼容 的 。 

当 你 编写 组 件 尤其 是 为 了 合成 来 写 组 件 时 ， 必 须 注意 设计 好 组 件 接口 以 使 其 在 这 个 系统 中 
相互 匹配 。 这 样 我 们 就 可 以 很 容易 地 把 这 些 组 件 合 成 为 一 个 单元 。 然 而 ， 当 独立 开发 可 复 用 组 件 
时 ， 你 经 常会 面临 接口 不 兼容 的 问题 ， 即 我 们 所 要 组 合 的 组 件 的 接口 不 一 致 的 问题 。 有 3 种 类 型 
不 兼容 会 发 生 : 

1. 参数 不 兼容 ”接口 每 一 侧 的 操作 有 相同 的 名 字 ， 但 参数 类 型 或 参数 数目 是 不 同 的 。 

2， 操 作 不 兼容 “提供 接口 和 需要 接口 的 操作 名 不 同 。 

3. 操作 不 完备 ”一 个 组 件 的 提供 接口 是 另 一 个 组 件 需 要 接口 的 一 个 子 集 ， 或 者 相反 。 

对 所 有 情况 ， 都 必须 通过 编写 适配器 组 件 来 解决 不 兼容 的 问题 ， 适配器 组 件 使 两 个 可 复 用 
组 件 的 接口 相 一 致 。 适 配器 组 件 将 一 个 的 接口 转换 为 另外 一 个 的 接口 。 适 配器 的 准确 形式 依赖 
于 合成 的 类 型 。 例 如 ， 在 下 个 例子 中 ， 适 配器 仅 是 从 某 个 组 件 得 到 结果 ， 然 后 将 其 转化 为 男 -一 组 
件 的 输入 。 在 其 他 情况 ， 适 配器 可 能 作为 组 件 B 的 代理 被 组 件 A 调用 。 这 种 情况 发 生 在 如 果 A 
希望 去 调用 B, 但 是 A 的 “需要 ”接口 细节 和 B 的 “提供 ” 接口 细节 不 匹配 的 情形 。 适 配器 通 
过 将 来 自 A 的 作为 输入 的 参数 转换 为 了 需要 的 输入 参数 来 协调 这 些 差异 。 然 后 就 可 调用 B， 将 服 
务 传达 给 A 了 。 

为 了 说 明 适 配器 ， 考 虑 图 17-11 中 的 组 件 ， 它 们 的 接口 是 不 兼容 的 。 这 可 能 是 应 急 服务 中 所 
使 用 的 系统 的 一 部 分 。 当 应 急 操 作 员 接听 呼叫 时 ， 电 话 号 码 被 输入 到 addressFinder 组 件 来 定位 地 
址 。 然 后 ， 用 mapper 组 件 打印 出 地 图 发 给 分 派 到 应 急 现场 的 车 辆 。 事 实 上 ， 组 件 的 接口 比 这 里 
给 出 的 要 复杂 得 多 ， 但 是 这 个 简化 的 版 本 有 助 于 说 清楚 适配器 的 概念 。 
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string location (string pn) 
O 










phoneDatabase (string command) string owner (string pn) 


O 
string property Type (string pn) 
O 


addressFinder 
H] display Map (string postCode,scale) 
mapDB (string command) O 
mapper printMap (string postCode,scale) 
Q 


图 17-11 带 有 不 兼容 接口 的 组 件 


第 一 个 组 件 ，addressFinder， 查 找 与 电话 号 码 相 匹配 的 地 址 。 它 还 能 返回 与 电话 号 码 相 应 的 
房产 主人 。mapper 组 件 使 用 邮政 编码 (在 美国 ， 为 标准 ZIP 码 ， 附 加 4 位 标示 房产 位 置 的 阿拉 伯 
数字 ) ， 以 某 个 比例 尺 显示 或 打印 代码 所 代表 的 周转 相关 地 区 的 街区 地 图 。 

原则 上 这 些 组 件 是 兼容 的 ， 因 为 房产 位 置 包括 邮编 或 ZIP 码 。 然 而 ， 你 必须 写 一 个 叫做 post- 
CodeStripper 的 适配器 组 件 ， 它 从 addressFinder 得 到 位 置 数据 并 剥离 出 邮政 编码 。 这 一 邮政 编码 
转 而 作为 mapper 的 输入 ， 街 道 地 图 以 1: 10000 的 比例 显示 。 下 面 的 代码 说 明了 实现 它 所 需要 的 
调用 序列 : 

address = addressFinder.location (phonenumber) : 


postCode — postCodeStripper.getPostCode (address) ; 
mapper.displayMap(postCode, 10000) ; 


使 用 适配器 组 件 的 另 一 种 情况 是 在 层次 合成 中 。 即 某 一 组 件 需 利用 另 一 组 件 ， 而 两 者 的 
“提供 ”接口 和 “需要 ”接口 是 不 兼容 。 图 17-12 说 明了 适配器 的 用 法 ， 这 里 一 个 适配器 是 用 来 
链接 数据 采集 器 和 传感器 。 它 们 会 用 在 实现 一 个 野外 气象 站 系统 中 ， 正 如 第 7 章 讨论 的 。 


O addSensor 

Q removeSensor 
O startSensor 

O stopSensor 
OtestSensor 
Oinitialize 










图 17-12 ”链接 数据 采集 器 和 传感器 的 适配器 


传感器 组 件 和 数据 采集 器 组 件 使 用 适配器 合成 。 适 配器 使 数据 采集 器 组 件 的 “需要 ”接口 
与 传感器 组 件 的 “提供 ”接口 相 一 致 。 数 据 采 集 器 组 件 在 设计 上 是 采用 一 种 通用 的 “需要 ” 接 
口 ， 这 个 接口 支持 传感器 数据 收集 和 传感器 管理 。 对 每 一 个 这 些 操作 来 说 ， 它 的 参数 是 代表 具体 
传感器 指令 的 文本 字符 串 。 例 如 ， 发 布 一 个 收集 命令 ， 你 必须 写 sensorData (“collect”), TEA 
17-12 中 所 表示 的 ， 传 感 器 本 身 有 单独 的 操作 诸如 “start”、“stop” 和 “getdata”。 

适配器 解析 输入 串 ， 识 别 命 令 〔 例 如 ， 收 集 ) ， 然 后 调用 Sensor. getdata 来 得 到 传感器 的 值 。 
然后 它 将 结果 (作为 字符 串 ) 返回 给 数据 收集 器 组 件 。 这 个 接口 的 风格 意味 着 数据 收集 器 可 以 
和 不 同类 型 的 传感器 相互 作用 。 对 于 每 个 类 型 的 传感器 要 实现 一 个 单独 的 适配器 ， 它 可 以 将 传 
感 器 指令 从 Data Collector 转换 到 实际 的 传感器 接口 。 

前 面 关 于 组 件 合成 的 讨论 假设 你 可 以 从 组 件 文档 中 判断 出 接口 是 否 兼容 。 当 然 ， 接口 的 定 
义 包 括 操作 名 和 参数 类 型 ， 因 此 可 根据 这 些 评估 兼容 性 。 然 而， 却 不 能 够 依赖 组 件 文档 来 判断 出 
接口 是 否 是 语义 兼容 的 。 
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为 了 说 明 这 个 问题 ， 考 虑 图 17-13 中 给 出 的 合成 例子 。 这 些 组 件 是 用 来 实现 一 个 能 从 数码 相 
机 传输 图 像 文件 并 将 它 存储 在 图 片 库 中 的 系统 。 系 统 用 户 可 以 提供 额外 的 信息 来 描述 图 片 和 对 
图 片 制作 目录 。 为 避免 混乱 ， 这 里 并 没 给 出 所 有 的 接口 方法 ， 只 简单 给 出 这 些 方法 ， 因 为 需要 它 
们 来 解释 组 件 文档 化 问题 。Phote Library 接口 方法 是 : 

public void addItem (Identifier pid ; Photograph p; CatalogEntry 

photodesc) ; 

public Photograph retrieve (Identifier pid) ; 

public CatalogEntry catEntry (Identifier pid); 





图 17-13 图片 库 组 成 

假设 在 Photo Library 中 的 addItem 方法 的 文档 如 下 : 

此 方法 将 图 片 加 入 图 片 库 ， 为 图 片 起 一 个 名 字 并 给 一 个 目录 。 

此 描述 看 起 来 是 解释 组 件 做 什么 ， 但 是 让 我 们 考虑 如 下 问题 : 

s 车 图 片 名 字 已 与 库 中 其 他 图 片 名 重复 会 怎样 

到 图片 描述 符 在 目录 人 口 和 图 片 本 身 都 有 吗 ? 也 就 是 说 ， 如 果 删 除 照 片 ， 是 否 要 删除 目录 

信息 ? 

在 addltem 的 非 正式 措 述 中 是 没有 足够 的 信息 回答 这 些 问 题 的 。 当 然 ， 是 可 以 添加 更 多 的 信 
息 到 方法 的 自然 语言 描述 中 ， 但 是 ， 总 的 来 说 ， 解 决 这 种 二 义 性 的 最 好 的 方法 是 使 用 形式 化 语言 
来 描述 接口 。 图 17-14 所 给 出 的 描述 是 Photo Library 的 接口 描述 的 一 部 分 ， 它 是 对 非 形式 化 描述 
添加 了 一 些 信息 。 


— The context keyword names the component to which the conditions apply 





context addItem 





— The preconditions specify what must be true before execution of addItem 
pre: PhotoLibrary.libSize() > 0 
PhotoLibrary.retrieve(pid) = nul} 








- The postconditions specify what is true after execution 

post: libSize () = libSize()@pre + 1 
PhotoLibrary.retrieve(pid) = p 
PhotoLibrary.cattntry(pid) = photodesc 







Context delete 





pre: PhotoLibrary.retrieve(pid) <>null ; 






post: PhotoLibrary.retrieve(pid) = null 
PhotoLibrary.catEntry(pid) = PhotoLibrary.catEntry(pid)@pre 
PhotoLibrary.libSize() = libSize()@pre—1 


图 17-14 Photo Library 接口 的 OCL 描述 
图 17-14 中 的 描述 使 用 了 前 置 条 件 和 后 置 条 件 ， 这 是 定义 在 一 个 基于 对 象 约束 语言 (OCL) 
上 的 一 套 符号 ， 而 OCL 是 UML 的 一 部 分 (Warmer 和 Kleppe, 1998), OCL 是 设计 用 来 描述 UML 
对 象 模型 中 的 约束 的 ; 它 允 许 你 去 表达 必 为 真 的 谓词 ， 或 者 是 在 执行 某 个 方法 之 前 必 为 真 的 谓 
词 ， 或 者 是 在 执行 完 某 个 方法 后 必 为 真 的 谓词 。 这 些 都 是 不 变量 ,前 置 条 件 和 后 置 条 件 。 为 在 操 
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作 前 访问 一 个 变量 的 值 ， 可 以 在 它 的 名 字 后 加 上 @ Pre。 因 此 ， 使 用 age 作为 一 个 例子 : 

age = age@pre + 1 

此 语句 意味 着 age 的 值 在 操作 后 要 比 其 在 操作 前 的 值 多 1。 

基于 OCL 的 方法 越 来 越 多 地 使 用 在 为 UML 模型 加 入 语义 信息 ，0CL 描述 在 模型 驱动 工程 中 
可 用 于 驱动 代码 生成 器 。 一 般 方法 得 自 Meyer 采用 Contract 方法 的 设计 (Meyer, 1992), ， 在 所 谓 
的 Contract 方法 中 ,通信 的 对 象 的 接口 和 行为 规范 是 形式 化 定义 的 ， 并 且 被 运行 时 系统 执行 。 
Meyer 认为 ， 如 果 我 们 要 开发 可 靠 的 组 件 ， 那 么 用 Contract 的 设计 就 是 绝对 必要 的 。 

图 17-14 包括 了 Photo Library 中 addltem 方法 和 delete 方法 的 描述 。 所 定义 的 方法 是 通过 关键 
i] Context 来 指示 的 ， 前 置 条 件 和 后 置 条 件 是 用 pre 和 post 来 指示 的 。addItem 的 前 置 条 件 陈 述 为 : 

1. 图 片 库 中 的 图 片 不 能 有 和 待 加 入 的 图 片 有 相同 的 标识 。 

2. 库 必须 是 存在 的 一 一 假定 创建 一 个 库 就 加 入 一 个 项 在 其 中 ， 这 样 库 的 大 小 始终 大 于 0 。 

3. addltem 的 后 署 条 件 声明 为 : 

库 的 大 小 增 1 (因此 只 产生 一 个 人 口 )。 

如 果 用 同一 个 标识 符 去 取 图 片 ， 就 可 以 得 到 新 添加 的 那个 图 片 。 

如 果 再 次 用 相同 的 标识 符 在 目录 中 查找 ， 就 可 以 得 到 所 生成 的 目录 人 口 。 

Delete 的 描述 提供 更 多 的 信息 。 前 置 条 件 陈述 为 :要 删除 一 个 项 ， 它 必须 在 库 中 ， 在 删除 照片 
后 不 能 再 得 到 ， 且 库 的 大 小 要 减 1。 然 而 ，delete 并 不 删 掉 目 录 人 口 一 一 你 仍 在 照片 被 删除 后 可 以 
再 次 得 到 它 。 其 原因 在 于 你 可 能 希望 在 目录 中 维持 关于 照片 为 何 被 删除 、 它 的 新 位 置 等 信息 。 

当 你 通过 合成 组 件 来 创建 一 个 系统 时 ， 你 会 发 现在 功能 性 需求 和 非 功能 性 需求 之 间 ， 在 尽 
可 能 快速 移交 软件 和 创建 一 个 能 随 需求 变更 而 进化 的 系统 之 间 ， 都 存在 着 潜在 的 冲突 。 你 将 必 
须 做 折 中 的 地 方 有 : 

1. 在 交付 系统 功能 性 需求 方面 哪 种 组 件 的 合成 方式 是 最 有 效 的 ? 

2. 什么 样 的 组 件 合成 将 可 以 使 得 合成 组 件 在 需求 变化 时 更 容易 调整 。 

3. 合成 系统 将 有 哪些 总 体 特性 ?这些 总 体 特性 是 像 性 能 和 可 靠 性 等 特性 。 只 有 当 整 个 系统 
实现 后 你 才能 够 评估 这 些 特性 。 

不 幸 的 是 ,解决 合成 问题 的 方案 在 许多 情况 下 可 能 是 相互 冲突 的 。 例 如 ， 考 虑 如 图 17-15 中 
所 描述 的 情况 ， 系 统 可 用 两 种 合成 而 创建 。 系 统 为 数据 采集 和 报告 系统 ， 数 据 从 不 同 的 数据 源 采 
集 而 来 ， 存 储 到 一 个 数据 库 ， 然 后 可 以 产生 不 间 汇 总 数据 的 报告 。 








图 17-15 数据 采集 和 报告 生成 组 件 


这 里 ， 在 适应 性 和 性 能 两 者 之 间 是 有 潜在 冲突 的 。 图 17-15a 所 示 合 成 方式 适应 性 更 强 ， 而 
图 17-15b 所 示 合 成 方式 也 许 更 快 和 更 可 信 。 图 17-15a 所 示 合 成 方式 的 优势 在 于 报告 和 数据 管理 
是 分 离 的 ， 因 此 对 未 来 的 变更 更 为 灵活 。 数 据 管理 系统 可 以 被 替换 ， 旦 如 果 需 要 报告 ， 而 现 有 的 
报告 系统 不 能 生成 ， 组 件 同样 可 被 替换 而 不 必 改 变数 据 管理 组 件 。 

图 17-15b 所 示 合 成 方式 中 ， 使 用 的 是 内 柚 报 告 设施 ( 如 微软 的 Access) 的 数据 库 组 件 ， 该 
合成 方式 的 主要 优点 在 于 组 件 很 少 ， 因 此 就 可 能 很 快 实现 ， 因 为 没有 组 件 间 太 多 的 通信 负荷。 此 
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外 ， 应 用 于 数据 库 的 数据 整体 性 规则 同样 也 应 用 于 报告 。 这 些 报告 不 可 能 以 不 正确 的 方式 组 合 
数据 。 在 图 17-152 所 示 合 成 方式 中 没有 这 种 限制 ， 因 此 在 报告 中 就 更 容易 出 错 。 

总 的 说 来 ,一 种 好 的 合成 原则 是 对 关注 焦点 分 离 的 原则 。 也 就 是 说 ， 你 应 试图 用 这 样 的 方式 
设计 你 的 系统 ， 即 每 个 组 件 都 有 清晰 定义 的 任务 ， 理 想 情 况 是 ， 这 些 任 务 彼此 不 会 重 琶 。 然 而 ， 
买 一 个 多 功能 的 组 件 会 比 买 两 个 或 三 个 独立 组 件 更 便宜 。 而 且 ， 使 用 多 个 组 件 在 可 靠 性 或 在 性 
能 上 可 能 会 有 损失 。 


要 点 

m 基于 组 件 软件 工程 是 一 种 基于 复 用 方法 来 定义 、 实 现 和 组 合 松散 耦合 的 独立 组 件 使 之 成 为 
个 系统 。 
组 件 是 一 个 软件 单元 ， 它 的 功能 和 可 依赖 性 完全 由 一 套 公共 接口 定义 。 组 件 可 以 与 其 他 组 
件 相 组 合 而 无 需 考虑 它们 的 实现 细节 ， 而 且 可 以 部 署 为 一 个 可 执行 单元 。 
组 件 可 能 实现 为 程序 单元 将 被 包含 在 系统 当中 ， 或 是 实现 为 在 系统 中 引用 的 外 部 服务 。 
组 件 模型 定义 了 一 组 组 件 标准 ， 包 括 接口 标准 、 使 用 标准 和 部 署 标 准 。 组 件 模 型 的 实现 提 
供 了 一 套 水 平 服 务 ， 可 以 为 所 有 组 件 所 用 。 
在 CBSE 过 程 中 ， 我 们 将 不 得 不 将 需求 工程 过 程 与 系统 设计 交织 在 一 起 。 我 们 不 得 不 在 所 
希望 的 需求 和 从 现存 的 可 复 用 组 件 能 得 到 的 服务 两 者 之 间 采 取 折 中 。 
组 件 合成 是 将 组 件 “ 捆 ”到 一 一 起 来 创建 一 个 系统 的 过 程 。 合 成 的 类 型 包括 顺序 合成 、 层 
次 合成 及 全 加 合成 。 
当 合 成 不 是 专 为 你 的 应 用 写 的 可 复 用 组 件 时 ， 通 常 要 编写 适配器 或 “胶水 代码 ”以 使 不 
同 组 件 接口 互相 兼容 。 
当选 择 合成 方式 时 ， 必 须 考虑 系统 所 需 的 功能 ， 非 功能 性 需求 和 当 系统 发 生 改 变 时 ， 一 个 
组 件 能 被 男 一 组 件 代替 的 难 易 。 


进一步 阅读 材料 

《Component-based Software Engineering; Putting the Pieces together) 这 是 一 本 论文 集 ， 收 集 了 
不 同 作者 关于 CBSE 不 同方 面 的 文章 。 与 其 他 文集 一 样 ， 它 相 当 的 杂 ， 但 比 Szyperski 的 书 来 说 ， 
在 基于 组 件 的 软件 工程 的 一 般 问题 上 覆盖 面 更 广 (G. T. Heineman and W. T. Councill, Addison- 
Wesley, 2001), 
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(Component Software; Beyond Object-Oriented Programming, 2" ed) 这 是 本 书 的 第 2 版 ， 此 书 是 


讨论 CBSE 中 的 技术 和 非 技 术 问题 的 第 一 部 著作 。 它 包括 了 比 Heineman 和 Councill 的 书 更 专业 的 技 
术 的 细节 的 讨论 ， 以 及 包括 了 对 市 场 问题 的 透彻 讨论 (C. Szyperski, Addison-Wesley, 2002), 

(Specification, implementation and deployment of components》 这 是 一 篇 非常 好 的 关于 CBSE 基本 
教程 的 读物 。CACM 的 同一 期 中 包括 组 件 和 基于 组 件 开发 的 论文 (i Cmkovic , B. Hnich , T. Jonsson 
and Z. kiziltan, Comm. ACM , 45(10) , October 2002), http://dx. doi. org/10. 1145/570907. 570928. 

(Software Component Models》 这 是 一 篇 对 商业 和 研究 用 的 组 件 模型 的 一 个 全 面 的 讨论 ， 它 将 
这 些 模型 进行 分 类 ， 并 解释 了 它们 之 间 的 差异 (K-K. Lau and Z. Wang, IEEE Transactions on Soft- 
ware Engineering, 33 (10), October 2007) , 

http ://dx. doi. org/10. 1109/TSE. 2007. 70726 , 


练习 
17.1 为 什么 对 所 有 组 件 的 交互 都 定义 为 通过 “需要 ”接口 和 “提供 ”接口 是 重要 的 ? 
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17.2 


17. 3 


17.4 


17. 5 


17. 6 


17.7 


17.8 
17.9 
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组 件 独立 原则 表示 用 完全 不 同 的 方法 实现 的 一 个 组 件 代 替 另 一 个 组 件 是 有 可 能 的 。 举 例 说 明 这 样 的 
组 件 代 换 可 能 会 出 现 不 希望 的 后 果 ， 且 会 导致 系统 失败 。 

组 件 作 为 程序 元 素 与 作为 服务 之 间 有 什么 根本 不 同 ? 

为 什么 组 件 应 基于 标准 组 件 模型 是 很 重要 的 ? 

列举 一 个 实现 抽象 数据 类 型 ( 如 堆栈 或 链表 ) 的 组 件 的 例子 ， 说 明 为 什么 通常 可 复 用 组 件 总 是 需要 
扩展 和 改写 ? 

说 明 为 什么 没有 组 件 源 代 码 ， 实 现 可 复 用 组 件 的 有 效 性 验证 是 相当 困难 的 。 以 怎样 的 形式 化 组 件 描 
述 才能 简化 验证 问题 ? 

设计 一 个 可 复 用 组 件 的 “提供 ”接口 和 “需要 ”接口 ， 这 个 组 件 在 MHC-PMS 中 可 能 用 于 表示 一 个 
病人 。 

举例 说 明 需 要 不 同类 型 的 适配器 来 支持 顺序 合成 、 层 次 合成 和 释 加 合成 。 

设计 组 件 接口 ， 该 组 件 可 能 用 于 应 急 控 制 室 的 系统 中 。 你 应 为 呼叫 记录 组 件 设计 接口 ， 该 组 件 记 录 
所 发 生 的 呼叫 ， 再 为 车 辆 发 现 组 件 设计 接口 ， 该 组 件 在 给 定 邮政 编码 邮政 编码 ) 和 事故 类 型 后 ， 
找 出 最 近 的 可 用 车 辆 来 分 派 到 出 事 现场 。 


17.10 有 人 提出 应 建立 独立 的 认证 机 构 。 供 应 商 可 以 提交 他 们 的 组 件 给 该 机 构 ， 由 此 机 构 来 验证 它 的 可 信 


任性。 这 种 认证 机 构 的 优点 和 缺点 是 什么 ? 
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目标 

本 章 的 目标 是 介绍 分 布 式 系统 工程 和 分 布 式 系统 体系 结构 ， 读 完 本 章 , 你 将 了 解 以 下 内 容 : 

m 在 设计 和 实现 一 个 分 布 式 软件 系统 时 不 得 不 考虑 的 关键 问题 ; 

m 客户 机 /服务 器 计算 模型 和 客户 机 /服务 器 系统 的 分 层 体 系 结构 ; 

u 分 布 式 系统 体系 结构 常用 到 的 模式 ， 对 于 不 同类 型 的 系统 所 适合 的 体系 结构 ; 

m 理解 软件 作为 一 种 服务 的 概念 ， 提 供 了 对 远程 应 用 程序 的 基于 Web 的 访问 。 

事实 上 ， 所 有 大 型 计算 机 系统 现在 都 是 分 布 式 系统 。 分 布 式 系统 与 所 有 的 系统 组 件 在 一 台 
单独 的 计算 机 上 执行 的 集中 式 系统 相反 ， 在 分 布 式 系 统 中 包含 了 许多 计算 机 。Tanenbaum 和 Van 
Steen (2007) 对 分 布 式 系统 做 了 定义 : 

ee 一 个 独立 计算 机 的 集合 体 ， 给 用 户 的 感觉 却 是 面 对 一 个 独立 的 系统 。” 

很 明显 ， 分 布 式 系统 工程 与 其 他 软件 工程 有 许多 相同 的 地 方 ， 但 也 有 许多 特殊 问题 需要 在 
设计 这 类 系统 时 予以 考虑 。 这 些 问题 是 由 于 系统 组 件 可 能 运行 在 独立 管理 的 计算 机 上 以 及 组 件 
间 要 经 过 网 络 通信 所 引起 的 。 

Coulouris 等 (2005) 找 出 了 用 分 布 式 方法 开发 系统 的 如 下 优势 : 

1. 资源 共享 ”分 布 式 系统 允许 硬件 、 软 件 资源 ， 如 磁盘 、 打 印 机 、 文 件 和 编译 器 等 共享 使 
用 。 显 然 ， 在 多 用 户 系 统 上 也 是 可 以 共享 资源 的 ， 只 不 过 在 这 种 情况 下 资源 必须 放 在 一 个 中 央 计 
算 机 上 统一 管理 。 

2. 开放 性 ”是 指 系统 通过 添加 非 私 有 资源 来 扩展 自己 的 能 力 。 分 布 式 系统 是 开放 的 系统 ， 
它 一 般 包括 来 自 不 同 厂商 的 软件 和 硬件 的 兼容 产品 。 

3. 并 发 性 ”在 分 布 式 系 统 中 ， 有 许多 过 程 可 以 在 网 络 的 不 同 计算 机 上 同时 运行 。 这 些 过 程 
在 其 正常 运行 期 间 可 以 〈 但 不 是 必需 ) 彼此 通信 。 

4. 可 扩展 性 ”原则 上 ， 分 布 式 系统 至 少 要 有 可 扩展 性 ， 系 统 的 能 力 可 以 通过 增加 新 的 资源 
来 满足 对 系统 的 新 的 需求 。 实 际 过 程 中 ， 可 扩展 性 可 能 受到 网 络 的 限制 。 

5. 容错 性 ”多 台 计 算 机 及 其 信息 复制 能 力 意味 着 系统 对 硬件 和 软件 错误 具有 相当 的 容错 能 
力 〈 见 第 13 章 ) 。 在 绝 大 多 数 分 布 式 系统 中 ， 当 有 错误 发 生 时 ， 可 能 会 使 提供 的 服务 能 力 下 降 ， 
但 彻底 丧失 服务 能 力 只 有 在 发 生 网 络 错误 时 才 会 出 现 。 

对 于 大 型 系统 ， 这 些 优点 意味 着 分 布 式 系 统 已 经 大 量 地 替换 了 像 在 20 世纪 90 年 代 中 所 开发 
的 大 型 机 遗留 系统 。 然 而 ， 还 有 许多 个 人 计算 机 应 用 系统 (例如 ， 照 片 编辑 系统 ) 不 是 分 布 式 
的 ， 这些 系统 运行 在 单个 的 计算 机 系统 上 。 许 多 典 入 式 系统 同样 也 是 单 处 理 器 系统 。 

分 布 式 系统 本 质 上 比 集中 式 系 统 更 复杂 。 这 使 得 分 布 式 系统 更 难 设 计 、 实 现 和 测试 。 由 于 系 
统 组 件 和 系统 基础 结构 之 间 交 互 的 复杂 性 ， 分 布 式 系 统 的 总 体 特 性 是 很 难 了 解 的 。 举 例 来 说 ， 系 
统 性 能 不 再 取决 于 一 个 处 理 器 的 运行 速度 ， 它 依赖 网 络 带宽 、 网 络 负载 和 系统 中 所 有 计算 机 的 
速度 。 将 系统 某 部 分 的 资源 转移 到 另外 地 方 将 严重 影响 系统 的 性 能 。 

此 外 , 正如 WWW 的 所 有 用 户 所 了 解 的 ， 分 布 式 系统 的 响应 是 不 可 预知 的 。 这 个 响应 依赖 
于 系统 的 总 的 负荷 、 它 的 体系 结构 以 及 网 络 负荷 。 由 于 这 些 因素 都 是 在 一 个 较 短 时 间 内 变化 的 ， 
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同一 个 用 户 的 两 个 请 求 之 间 就 会 有 极 大 的 响应 差别 。 

在 过 去 的 几 年 里 影响 分 布 式 软件 系统 最 重要 的 进展 是 面向 服务 的 出 现 。 本 竟 大 部 分 的 重点 
是 分 布 式 系统 的 一 般 问 题 ， 但 是 ，18. 4 节 会 涉及 应 用 作为 服务 来 部 署 的 概念 ， 这 'j 第 19 章 的 内 
容 是 呼应 的 。 第 19 章 的 重点 是 服务 (作为 面向 服务 体系 结构 的 组 件 ) 以 及 面向 服务 软件 工程 的 
一 般 问题 。 


18.1 分 布 式 系统 的 问题 

正如 本 章 的 引言 中 提 到 的 ， 分 布 式 系统 比 在 单 处 理 器 上 运行 的 系统 要 复杂 得 多 。 这 种 复杂 
源 于 分 布 式 系统 不 可 能 有 一 个 自 顶 向 下 的 控制 模型 。 系 统 中 提供 功能 的 节点 通常 是 独立 的 系统 ， 
它们 没有 单独 管理 系统 的 权限 。 连 接 这 些 节点 的 网 络 是 一 个 单独 管理 的 一 个 系统 。 这 个 系统 本 
身 是 很 复杂 的 ,并且 不 能 被 使 用 网 络 的 用 户 所 控制 。 因 此 ， 分 布 式 系统 的 运行 本 质 上 就 会 有 不 可 
预测 性 ， 系 统 的 设计 者 必须 要 考虑 到 这 一 点 。 

在 分 布 式 系统 工程 中 一 些 不 得 不 考虑 的 重要 的 设计 问题 是 : 

L 透明 性 ”分布 式 系统 在 多 大 程度 上 应 该 给 用 户 呈 现 为 一 个 单个 系统 ? 对 于 用 户 何 时 了 解 
系统 的 分 布 性 是 有 益 的 ? 

2. FRE ”系统 是 否 应 该 使 用 支持 互 操作 性 的 标准 协议 来 设计 ? 是 否 应 该 使 用 更 多 的 专业 
的 协议 来 限制 设计 者 的 自由 度 ? 

3. 可 扩展 性 系统 应 如 何 构建 才能 可 扩展 ? 也 就 是 ， 整 个 系统 如 何 来 设计 才能 提升 当 系统 
需求 增加 时 的 反应 能 力 ? 

4. 信息 安全 性 ”如何 定义 和 实现 可 用 的 信息 安全 策略 ， 并 应 用 到 一 群 独 立 管理 的 系统 ? 

5. 服务 质量 交付 给 系统 用 户 的 服务 质量 应 如 何 定义 ? 系统 应 如 何 实现 才能 给 所 有 的 用 户 
一 个 可 接受 的 服务 质量 ? 

6. 失败 管理 ”系统 失败 如 何 检测 、 抑 制 〈 使 对 系统 的 其 他 组 件 造成 的 影响 最 小 ) 和 修复 ? 













Q CORBA—— 通用 对 象 请 求 代理 体 系 结构 


CORBA 是 一 个 闻名 的 对 中 间 件 系统 的 描述 ， 它 是 由 对 象 管理 集团 (OMG) 于 20 世纪 90 
年 代 提 出 来 的 。 它 的 目 ROGER DARE ALAGRS 闻 件 支持 分 布 的 组 件 通信 和 执行 ， 
E 系列 被 这 些 组 件 使 用 的 标准 服务 。 

经 有 了 CORBA 的 多 个 实现 ， 但 是 系统 从 未 达到 过 临界 规模 。 用 户 倾向 于 使 用 专用 的 系 
RAULAR AR A A RR. 
http://www. SoftwareEngineering-9. com/Web/DistribSys/Corba. html 


理想 情况 下， 系统 是 分 布 的 对 于 用 户 应 该 是 透明 的 。 这 意味 着 用 户 会 把 系统 看 成 一 个 单一 
的 系统 ， 这 个 单一 的 系统 的 行为 不 会 受 分 布 的 影响 。 事 实 上 ， 这 是 不 可 能 完成 的 。 因 为 ， 分 布 式 
系统 的 集中 控制 是 不 可 能 的 ， 并 且 系统 中 单独 的 计算 机 在 不 同时 间 的 行为 是 不 同 的 。 此 外 ， 由 于 
信和 号 在 网 络 中 的 传输 需要 一 定 的 时 间 长 度 ， 网 络 延迟 是 不 可 避免 的 。 延 迟 的 长 度 依赖 于 系统 中 
资源 的 位 置 、 用 户 网 络 连接 的 质量 和 网 络 负载 。 

实现 透明 性 的 设计 方法 依赖 于 在 分 布 式 系统 中 创建 资源 的 抽象 ， 这 样 ， 这 些 资源 的 物理 实 
现 就 可 以 改变 而 无 需 应 用 系统 做 任何 改变 。 中 间 件 (在 18. 1. 2 节 中 将 讨论 到 ) 用 于 将 程序 中 引 
用 的 逻辑 资源 喘 射 到 实际 的 物理 资源 上 ， 及 管理 这 些 资源 之 间 的 交互 。 

实际 上 ， 一 个 系统 完全 透明 是 不 可 能 的 ， 通常， 用 户 会 意识 到 他 们 正在 与 一 个 分 布 式 系统 打 
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交道 。 因 此 ， 你 可 能 会 决定 最 好 是 向 用 户 显示 这 是 个 分 布 式 系统 。 那么， 他 们 就 可 以 为 分 布 式 系 
统 所 可 能 带 来 的 后 果 做 准备 ， 比 如 网 络 延迟 、 远 程 节点 故障 等。 | 
， ”开放 性 的 分 布 式 系统 是 依据 普遍 接受 的 标准 来 建立 的 系统 。 这 意味 着 提供 商 提 供 的 组 件 可 
以 整合 到 系统 中 而 且 可 以 和 其 他 系统 组 件 互 操作 。 在 网 络 层面 ， 开 放 性 现在 理所当然 地 被 认为 
要 遵从 互联 网 协议 ,但 是 在 组 件 层面 ， 开 放 性 还 没有 普及 。 开 放 性 意味 着 系统 组 件 可 以 使 用 任何 
编程 语言 独立 的 开发 ， 并 且 如 果 这 些 组 件 符合 标准 ， 这 些 组 件 将 会 和 其 他 组 件 一 起 运作 。 

20 世纪 90 年 代 的 CORBA (Pope, 1997) 标准 制定 ， 骨 在 实现 开放 性 但 是 从 未 达到 临界 规 
模 。 相 反 ， 许 多 公司 选择 使 用 SUN 公司 和 微软 公司 私有 的 组 件 标准 来 开发 系统 。 这 些 标准 提供 
了 更 好 的 软件 实现 和 软件 支持 以 及 对 产业 协议 更 好 的 长 期 支持 。 

面向 服务 体系 结构 的 Web 服务 标准 《在 第 19 章 中 讨论 ) 的 进展 有 可 能 成 为 开放 的 标准 。 然 
而 ,这 些 标准 有 很 大 的 阻力 因为 其 效率 低下 。 一 些 面向 服务 系统 的 开发 者 选择 被 称 作 RESTful 的 
协议 来 作为 替代 品 ， 因 为 这 些 协议 本 身 要 比 Web 服务 协议 的 开销 低 很 多 。 

系统 的 可 扩展 性 反映 了 系统 能 在 需求 增长 的 情况 下 提供 高 质量 的 服务 的 能 力 。Neuman 
(1994) 识别 出 可 扩展 性 的 3 个 方面 

1 规模 “应 该 可 以 增加 更 多 的 资源 到 系统 来 应 付 越 来 越 多 的 用 户 。 

2. 分布 应 该 可 以 地 域 性 地 分 散 系统 的 组 件 而 不 会 降低 系统 的 性 能 。 

3 可 管理 性 ” 当 系 统 的 规模 增加 时 应 该 可 以 管理 它 ， 即 使 系统 的 组 件 位 于 独立 的 机 构 。 

所 谓 的 规模 ， 有 增强 扩展 和 增加 扩展 的 区 别 。 增 强 扩展 意味 着 用 更 强大 的 资源 替换 系统 中 
的 资源 。 例 如 ， 你 或 许 会 把 服务 器 的 内 存 由 16 CB 增加 到 64 GB。 增加 扩展 是 指向 系统 增加 更 多 
的 资源 (例如 ， 增 加 一 个 额外 的 服务 器 与 现存 的 服务 器 一 起 工作 ) 。 增 加 扩展 通常 要 比 增强 扩展 
更 有 成 本 效益 ， 但 是 这 意味 着 系统 要 设计 得 能 并 行 处 理 才 行 。 

在 本 书 的 第 二 部 分 中 ， 已 经 讨论 了 一 般 的 信息 安全 问题 和 信息 安全 工程 的 问题 。 但 是 ， 与 集 
中 式 系统 相 比 ， 分 布 式 系统 可 能 遭 到 攻击 的 方式 就 会 明显 增加 。 如 果 系 统 的 一 个 部 件 被 成 功 的 
攻击 ,那么 攻击 者 很 可 能 以 此 作为 “后 门 ”来 人 侵 系统 的 其 他 部 件 。 

分 布 式 系统 必须 防卫 以 免 遭 到 以 下 类 型 的 攻击 ， 

L 拦截， 系统 部 件 之 间 的 通信 被 攻击 者 拦截 ， 因 此 将 会 背 失 机 密 性 。 

2 中 断 ， 系 统 的 服务 遭 到 攻击 并 且 不 能 按照 预期 来 提供 服务 。 拒 绝 服务 攻击 包括 使 用 非法 
请 求 泰 击 一 个 节点 ， 使 得 该 节点 不 能 处 理 合法 的 请 求 。 

3. 更 改 ， 系 统 中 的 服务 和 数据 被 攻击 者 修改 。 

4. 担 造 ， 攻 击 者 生成 本 不 应 该 存在 的 信息 并 且 使 用 这 些 信息 获得 一 些 权限 。 例 如 ， 一 个 攻 
击 者 可 能 会 生成 一 个 不 真实 的 密码 入 口 并 借 此 访问 系统 。 

分 布 式 系统 最 大 的 难点 是 建立 一 个 能 可 靠 地 应 用 于 系统 中 所 有 组 件 的 信息 安全 策略 。 如 第 
11 章 所 述 ， 一 个 信息 安全 策略 规定 了 一 个 系统 所 能 达到 的 安全 级 别 。 信 息 安全 机 制 ， 比 如 加 密 
和 认证 ， 被 用 来 执行 信息 安全 策略 。 在 分 布 式 系统 中 出 现 的 难点 是 由 于 不 同 的 机 构 可 能 拥有 系 
统 的 组 件 。 这 些 机 构 或 许 有 互 不 兼容 的 信息 安全 策略 和 信息 安全 机 制 。 不 得 不 制定 安全 协商 以 
允许 系统 一 起 工作 。 

分 布 式 系统 提供 的 服务 质量 (QoS) 反映 了 系统 的 一 种 能 力 ， 即 可 靠 地 提供 服务 并 使 得 响应 
时 间 和 吞吐 量 对 于 用 户 来 说 都 是 可 接受 的 。 理 想 情 况 下 ， 服 务 质量 需求 应 该 事先 具体 化 并 且 设 
计 和 配置 系统 来 提供 这 样 的 服务 质量 。 不 幸 的 是 ， 这 通常 是 不 现实 的 ， 有 两 个 原因 ， 

1. 设计 和 配置 系统 提供 高 负荷 下 的 高 服务 质量 是 不 符合 成 本 效益 的 。 这 可 能 因为 提供 的 次 
源 在 大 多 数 时 间 是 闲置 的 。“ 云 计算 ”主要 争论 之 一 是 它 部 分 地 解决 这 个 问题 。 使 用 云 ， 当 需求 
增加 时 很 容易 增加 资源 。 
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2. 服务 质量 参数 可 能 会 相互 矛盾 。 例 如 ， 可 靠 性 的 提升 可 能 意味 着 吞吐 量 的 减少 ， 这 是 由 
于 引进 了 检查 程序 来 保证 所 有 的 系统 输入 都 是 合法 的 。 

当 系 统 处 理 时 间 紧 迫 的 数据 如 语音 或 视频 流 时 ， 服 务 质 量 是 至 关 重要 的 。 在 这 种 情况 下 ， 如 
果 上 服务 质量 降 到 了 靖 值 以 下 ， 那 么 语音 或 视频 可 能 会 衰减 到 无 法 接受 。 系 统 处 理 语音 和 视频 应 
该 包括 服务 质量 协商 和 组 件 管理 。 这 些 应 该 评估 服务 质量 需求 而 不 是 可 用 资源 ， 如 果 这 些 是 不 
足 的 ， 协 商 提 供 更 多 的 资源 或 者 降低 服务 质量 目标 。 

在 分 布 式 系统 中 出 现 失败 是 不 可 避免 的 ， 所 以 系统 在 设计 上 必须 要 适应 这 些 失 败 。 失 败 是 
无 处 不 在 的 ， 以 至 于 Leslie Lamport， 分 布 式 系统 的 著名 研究 者 ， 对 分 布 式 系统 提出 了 一 个 著名 的 
定义 : 

“在 你 从 未 听 说 过 的 一 个 系统 崩溃 阻止 你 做 任何 工作 的 时 候 ， 你 才 知 道 你 有 一 个 分 布 式 系 统 。” 

失败 管理 包括 应 用 容错 技术 (在 第 13 章 提 到 ) 。 分 布 式 系统 因而 应 该 包括 一 个 发 现 机 制 ， 
即 一 旦 发 现 系统 的 一 个 组 件 已 经 失败 ， 要 持续 尽 可 能 地 提供 很 多 服务 而 不 管 组 件 失败 ， 以 及 尽 
可 能 自动 地 从 故障 中 恢复 。 


18. 1.1 交互 模型 


分 布 计算 系统 中 的 计算 机 之 间 可 能 会 发 生 两 种 基本 类 型 的 交互 ， 过 程式 交互 和 基于 消息 的 
交互 。 过 程式 交互 指 的 是 一 台 计 算 机 请 求 其 他 计算 机 提供 的 一 个 已 知 的 服务 并 【总 是 ) 等 待 将 
要 传送 的 服务 。 基 于 消息 的 交互 指 的 是 “发 送 ” 计 算 机 在 消息 中 定义 所 需要 的 信息 并 发 送 给 另 
一 台 计 算 机 。 较 之 对 另 一 台 机 器 的 过 程 调用 ， 消 息 总 是 在 一 个 单独 的 交互 中 传送 更 多 的 信息 。 

为 了 说 明 过 程式 交互 和 基于 消息 交互 的 区 别 ， 我 们 考虑 在 餐馆 中 点 菜 的 情形 。 当 你 和 服务 
员 交谈 时 ， 你 是 在 一 系列 同步 的 过 程式 交互 中 指定 你 要 的 东西 的 。 你 做 出 了 请 求 ， 服 务 员 收 到 请 
求 ; 你 做 出 另 一 以 请 求 ， 请 求 收 到 ; 等 等 。 这 好 比 软件 系统 中 的 组 件 交互 ， 其 中 一 个 组 件 油 用 来 
自 其 他 组 件 的 方法 。 服 务 员 记 下 你 所 点 的 菜 ， 以 及 和 你 起 的 其 他 人 所 点 的 菜 ， 然 后 服务 员 将 包 
括 了 所 点 的 每 个 革 的 细节 的 消息 传递 给 厨房 以 准备 食物 。 本 质 上 讲 ， 服 务 员 传递 消息 给 厨房 ， 消 
息 定义 了 需要 准备 的 食物 。 这 是 基于 消息 的 交互 。 wae "m 

图 18-1 说 明了 如 同一 系列 调用 的 同步 点 菜 的 过 程 ， 而 9 
图 182 给 出 了 一 个 假设 的 XML 消息 ， 它 定义 了 一 桌 3 人 所 
点 的 菜 。 这 之 间 的 信息 交流 方式 的 差异 是 很 明显 的 。 服 务 员 
所 记录 的 是 一 系列 的 交互 ， 每 个 交互 定义 了 所 点 的 一 部 分 
菜 。 而 服务 员 和 厨房 之 间 有 一 个 单独 交互 ， 所 传递 的 消息 定 
义 了 完整 的 点 菜 内 容 。 

在 分 布 式 系统 中 过 程式 通信 往往 是 通过 远程 过 程 调用 
(RPC) 实现 的 。 在 远程 过 程 调用 过 程 中 ， 一 个 组 件 调用 另 
一 个 组 件 就 像 是 调用 本 地 的 程序 或 方法 。 系 统 中 的 中 间 件 拦 
截 调用 并 把 它 传送 给 一 个 远程 的 组 件 。 远 程 组 件 执行 了 所 要 


的 计算 ， 通 过 中 间 件 返回 结果 给 调用 组 件 。Java 中 ， 远 程 方 : 


法 调用 (RMI) 与 远程 过 程 调用 是 差不多 的 ， 但 不 完全 相 M1- 用 和 餐 者 和 服务 员 之 间 
Il, RMI 框架 在 Java 程序 中 处 理 对 远程 方法 的 调用 。 的 过 程式 交互 

RPC 要 求 一 个 “ 桩 ”以 便 所 要 调用 的 过 程 在 请 求 的 计算 机 上 是 可 访问 的 。 这 个 桩 被 调用 并 
把 过 程 的 参数 转化 为 一 种 标准 的 表示 以 便 传送 给 远程 程序 。 经 过 中 间 件 ， 接 着 发 送 执行 请 求 给 
远程 程序 。 远 程 过 程 使 用 库 函 数 转 换 参 数 成 需要 的 格式 ， 执 行 相应 计算 ， 并 传输 结果 给 中 间 件 以 
便 继 续 传输 给 发 送 者 。 


: 您 需要 什么 ? i 
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<starter> 
<dish name = “soup” type = “tomato” /> 
<dish name = “soup” type = "fish" /> 
<dish name = “pigeon salad” /> 
</starter> 
<main course> 
«dish name = "steak" type = “sirloin” cooking = "medium" /> 


«dish name = "steak" type = “fillet” cooking = "rare" /> 
«dish name = “sea bass”> 
</main> 
<accompaniment> 
<dish name = "french fries" portions = "2" /> 
<dish name = “salad” portions = "1" /> 
</accompaniment> 





图 18-2 服务 员 和 厨房 员工 之 间 的 基于 消息 的 交互 


基于 消息 的 交互 通常 是 组 件 创建 一 个 消息 ， 这 个 消息 详细 地 说 明了 来 自 另 一 个 组 件 的 服务 
需求 。 通 过 中 间 件 ， 消 息 发 送 给 接收 组 件 。 接 收 者 分 析 消 息 ， 执 行 计算 ,并 为 发 送 组 件 创建 一 个 
带 有 需求 结果 的 消息 。 这 个 消息 接着 传 到 中 间 件 以 便 传送 给 发 送 组 件 。 

远程 过 程 调 方法 带 来 的 一 个 问题 是 调用 者 和 被 调用 者 需要 在 通信 时 都 是 有 效 的 ， 它 们 必须 
知道 如 何 相 互 指引 。 本 质 上 ， 远 程 过 程 调用 和 本 地 程序 和 方法 调用 有 着 同样 的 需求 。 相 反 ， 在 基 
于 消息 的 方法 中 ， 不 可 用 是 可 以 被 容忍 的 ， 因 为 消息 仅仅 呆 在 队列 里 直到 接收 者 变 为 可 用 。 此 
外 ， 消 息 的 发 送 者 和 接收 者 没 必要 知道 彼此 。 他 们 只 是 与 中 间 件 通信 ， 中 间 件 负责 确定 消息 传送 
到 合适 的 系统 中 。 


18.1.2 中 间 件 


在 分 布 式 系统 中 ， 不同 的 组 件 可 能 用 不 同 的 程序 语言 来 实现 ， 且 这 些 组 件 可 能 运行 在 不 同 
类 型 的 处 理 嚣 上。 数据 模型 、 信 息 表示 法 以 及 通信 协议 可 能 都 不 一 样 。 因 此 ， 分 布 式 系统 就 需要 
某 种 软件 来 管理 这 些 不 同 部 分 ， 确 保 它 们 能 通信 和 交换 数据 。 

中 间 件 这 个 术语 指 的 就 是 这 样 一 种 软件 ， 它 位 于 系统 的 不 同 分 布 式 组 件 之 间 。 图 18-3 说 明 
了 中 间 件 是 操作 系统 和 应 用 程序 中 间 的 一 层 。 中 间 件 通常 实现 为 一 系列 库 ， 这 些 库 被 安装 到 每 
一 个 分 布 的 计算 机 上 ， 加 上 一 个 运行 时 系统 管理 通信 。 








协同 操作 





信息 交换 和 
公共 服务 





' 1 
操作 系统 


| 
| 
系统 1 系统 2 
图 18-3 分 布 式 系统 中 的 中 间 件 
Bernstein (1996) 总 结 了 支持 分 布 式 计算 的 中 间 件 的 不 同类 型 。 中 间 件 是 一 种 通用 软件 ， 通 


常 中 间 件 不 是 由 应 用 开发 人 员 编 写 的 ， 而 是 购买 现成 的 。 中 间 件 的 例子 有 负责 数据 库 通信 管理 
的 软件 、 事 务 管理 器 、 数 据 转换 器 和 通信 控制 器 等 。 


逻辑 交互 





物理 连接 
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在 一 个 分 布 式 系统 中 ， 中 间 件 通常 提供 两 种 不 同类 型 的 支持 ; 

l. 交互 支持 ， 中 间 件 协调 系统 中 的 不 同 组 件 之 间 的 交互 。 中 间 件 提供 位 置 透明 性 ， 因 为 组 
件 不 需要 知道 其 他 组 件 的 物理 位 置 。 如 果 使 用 不 同 的 程序 语言 来 实现 组 件 、 事 件 检测 和 通信 等 
时 ， 那 么 中 间 件 还 可 能 会 支持 参数 转换 。 

2. 提供 公共 服务 ， 即 中 间 件 提供 对 服务 的 可 复 用 的 实现 ， 这 些 服务 可 能 会 被 分 布 式 系统 中 
的 很 多 组 件 所 需要 。 通 过 使 用 公共 服务 ， 组 件 可 以 很 容易 地 相互 协作 并 且 可 以 持续 地 向 用 户 提 


供 服务 。 
18.1. 1 节 已 经 给 出 了 中 间 件 可 以 提供 的 交互 支持 的 例子 。 你 可 以 使 用 中 间 件 来 支持 远程 过 
程 和 远程 方法 调用 和 消息 交换 等 。 


会 共 服务 是 指 被 不 同 组 件 需 求 的 服务 ， 不 管 这 些 组 件 的 功能 是 什么 。 如 第 17 章 中 所 述 ， 这 
些 服务 可 能 包括 安全 服务 〈 身 份 认证 和 权限 认证 ) ， 通 知 和 命名 服务 ， 以 及 事务 管理 服务 等 。 你 
可 以 把 这 些 服 务 看 做 是 中 间 件 容器 提供 的 。 你 可 以 在 这 个 容器 中 部 署 你 的 组 件 并 且 这 些 组 件 可 
以 访问 和 使 用 这 些 公共 服务 。 


18.2 客户 机 -服务 器 计算 


通过 互联 网 访问 的 分 布 式 系统 通常 组 织 成 客户 机 - 服务 器 系统 。 在 客户 机 - 服务 器 系统 
中 ， 用 户 与 运行 在 本 地 计算 机 上 的 程序 (例如 ，Web 浏览 器 或 基于 电话 的 应 用 ) 交互 。 这 个 
程序 与 运行 在 远程 计算 机 上 (例如 Web 服务 器 ) 的 另 一 个 程序 交互 。 远 程 计算 机 提供 如 网 页 
访问 等 服务 ， 这 些 服务 对 于 外 部 客户 机 都 是 可 用 的 。 如 第 6 章 中 所 述 ， 这 种 客户 机 - 服务 器 
模型 是 一 个 应 用 程序 非常 普遍 的 体系 结构 模型 。 这 种 模型 不 受 分 布 在 许多 计算 机 上 的 应 用 程 
序 的 限制 。 你 也 可 以 使 用 这 种 模型 作为 一 种 逻辑 交互 模型 ， 即 让 客户 机 和 服务 器 运行 在 同一 
台 计算 机 上 。 

在 客户 机 ~ 服务 器 模型 中 ， 应 用 建 模 为 由 服务 器 所 提供 的 一 系列 服务 。 客 户 机 可 以 访问 这 
此 服务 并 提交 结果 给 最 终 的 用 户 《Orali 和 Harkey, 1998), 客户 机 需要 知道 可 用 服务 器 的 存在 
但 不 知道 其 他 客户 机 的 存在 。 客 户 机 和 服务 器 是 独立 的 程序 ， 如 图 18-4 所 示 。 该 图 说 明了 这 样 
一 种 情况 ， 有 4 台 服 务 器 (sl ~s4) 分 别提 供 不 同 的 服务 ， 每 一 台 服 务 器 都 有 一 组 与 之 关联 的 客 
户 机 来 访问 这 些 服务 。 





图 18-4 客户 机 - 服务 器 交互 


图 18-4 示意 的 是 客户 机 和 服务 器 进程 而 不 是 处 理 器 。 正 常情 况 下 ， 在 单个 处 理 器 上 会 运行 
多 个 客户 机 进程 。 例 如 ， 在 你 的 PC 机 上 ， 你 可 能 会 运行 邮件 客户 机 从 远程 邮件 服务 器 上 下 载 邮 
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件 。 你 也 可 能 会 运行 一 个 Web 浏览 器 与 远程 Web 服务 器 交互 ， 你 或 者 运行 一 个 打印 客户 端 程序 
向 远程 打印 机 发 送 文件 。 图 18-5 说 明了 有 12 个 逻辑 的 客户 机 ( 如 图 18-4 Pras) 运行 在 6 Bit 
算 机 上 的 情况 。4 个 服务 器 进程 被 映射 到 两 台 物 理 的 服务 器 计算 机 上 。 


cl sl,s2 c2 c3.c4 









服务 器 





计算 机 
[se] 客户 机 






05,06,c7 s3s4 — cRc9 510c1L612 计算 机 
图 18-5 客户 机 和 服务 器 映射 到 网 络 计算 机 上 


许多 不 同 的 服务 器 进程 可 能 会 运行 在 同一 个 服务 器 上 ， 但 是 通常 服务 器 都 是 实现 为 多 处 理 
器 系统 ， 其 中 单独 的 服务 器 进程 实例 运行 在 一 台 机 器 上 。 负 载 平衡 软件 把 客户 机 向 服务 器 发 送 
的 请 求 分 配给 不 同 的 服务 器 ， 所 以 每 一 个 服务 器 负责 相同 的 工作 量 。 这 就 使 更 多 的 与 客户 机 的 
交互 事务 能 得 以 处 理 ， 而 不 会 降低 对 单个 客户 机 的 响应 。 

客户 机 - 服务 器 系统 依赖 于 清晰 地 分 离 了 信息 表示 和 信息 计 
性。 信息 计算 是 对 信息 的 创建 和 处 理 。 因 此 ， 你 应 该 设计 出 分 布 am 
CEPI- 服务 器 系统 的 体系 结构 ， 让 信息 的 表示 和 信息 计算 分 
布 在 几 个 逻辑 的 分 层 上 ， 层 与 层 之 间 有 明确 的 接口 。 这 种 设计 多 
许 每 一 层 分 布 在 不 同 的 计算 机 上 。 图 18-6 说 明了 这 种 模型 ， 它 





DRIN UN 
a 表示 层 ， 表 示 层 是 关于 呈现 信息 给 用 户 和 管理 所 有 用 户 的 T 
交互 。 图 18-6 客户 机 - 服务 器 应 用 


wm 数据 管理 层 ， 数 据 管理 层 用 来 管理 传 给 客户 机 和 来 自 客 户 的 分 层 体系 结构 模型 

机 的 数据 。 这 一 层 可 以 实现 数据 检查 、 网 页 生成 等 。 

m 应 用 处 理 层 ， 应 用 处 理 层 涉 及 应 用 逻辑 的 实现 以 及 向 最 终 用 户 提供 所 需求 的 功能 。 

a 数据 库 层 ， 数 据 库 层 用 来 储存 数据 和 提供 事务 管理 服务 等 。 

接 下 来 的 章节 解释 不 同 的 客户 机 -服务 器 体系 结构 如 何以 不 同 的 方式 分 布 这 些 逻 辑 的 分 层 。 
客户 机 - 服务 器 模型 也 强调 了 软件 作为 一 种 服务 (Software as a Service, SaaS) 的 概念 ， 这 一 概 
念 成 了 部 署 软件 和 通过 互联 网 访问 软件 的 一 种 越 来 越 重 要 的 方法 。18. 4 节 将 会 讨论 这 一 问题 。 


18.3 分 布 式 系统 的 体系 结构 模式 

如 本 章 的 引言 中 所 述 ， 分 布 式 系统 的 设计 者 必须 要 组 织 他 们 的 设计 以 便 在 系统 的 性 能 、 可 
依赖 性 、 信 息 安全 性 和 可 管理 性 之 间 找 到 平衡 。 因 为 没有 能 适用 于 所 有 环境 的 一 种 通用 的 系统 
组 织 模型 ， 所 以 出 现 了 不 同 的 分 布 式 体系 结构 风格 。 当 设计 一 个 分 布 式 应 用 时 ， 你 应 该 选择 一 种 
能 支持 你 的 系统 中 关键 的 非 功能 性 需求 的 体系 结构 风格 。 

在 这 一 节 ， 讨论 了 5 种 体系 结构 风格 : 

l. 主 从 体系 结构 ， 这 种 体系 结构 常用 在 实时 系统 中 ， 在 实时 系统 中 需要 保证 交互 的 反应 
时 间 。 

2. 两 层 客 户 机 - 服务 器 体系 结构 ， 这 种 体系 结构 常用 于 简单 的 客户 机 - 服务 器 系统 ， 也 用 
于 由 于 信息 安全 原因 集中 化 系统 是 至 关 重 要 的 情况 下 。 在 这 种 情况 下 ， 客 户 机 和 服务 器 之 间 的 
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通信 通常 是 经 过 加 密 的 。 

3. 多 层 客户 机 - 服务 器 体系 结构 ， 这 种 体系 结构 用 于 服务 器 要 处 理 大 量 的 事务 的 时 候 。 

4. 分 布 式 组 件 体系 结构 ， 这 种 体系 结构 用 于 不 同系 统 和 数据 库 的 资源 需要 合并 的 时 候 。 或 
者 作为 多 层 客 户 机 - 服务 器 系统 实现 模型 。 

5. 对 等 体系 结构 ， 这 种 体系 结构 用 于 当 客 户 机 交换 本 地 存储 信息 而 服务 器 作为 在 客户 机 之 
间 相 互 介绍 认识 的 时 候 。 也 用 于 要 必须 进行 大 量 的 独立 计算 的 时 候 。 


18.3.1 主 从 体系 结构 


分 布 式 系统 的 主 从 体系 结构 通常 用 于 实时 系统 ， 在 实时 系统 中 有 独立 的 处 理 器 分 别针 对 从 
系统 的 环境 中 获取 数据 、 数 据 处 理 、 数 据 计 算 以 及 执行 器 管理 。 就 像 第 20 章 将 讨论 的 ， 执 行 器 
是 由 软件 系统 所 控制 的 设备 ， 它 们 用 来 改变 系统 的 环境 。 例 如 ， 一 个 执行 器 可 能 控制 一 个 阀门 并 
把 阀门 的 状态 由 “ 开 ” 变 为 “ 关 ”。 主 进程 通常 负责 计算 、 协 调和 通信 ， 并 榨 制 从 进程 。 从 进程 
用 于 执行 专门 的 行为 ， 比 如 从 传感器 阵列 中 获取 数据 。 

图 18-7 说 明了 这 种 体系 结构 模型 。 这 是 一 个 城市 交通 管理 系统 的 模型 ， 这 个 模型 有 三 个 运 
行 在 不 同 处 理 器 上 的 逻辑 进程 。 主 进程 是 控制 室 进程 ， 它 与 负责 收集 交通 数据 和 管理 交通 信和 号 
灯 的 独立 的 从 进程 通信 。 


控制 室 处 理 器 


控制 处 理 器 - 


交通 信号 灯 H 3) 





从 属 计算 机 | |] 从 属 计算 机 | 
C) i apod gl 
交通 流量 传感器 和 摄像 头 交 


B187 交通 管理 系统 的 主 从 体系 结构 


一 组 分 布 式 传感器 收集 交通 流量 信息 。 传 感 器 控制 进程 周期 性 地 轮 询 传 感 器 来 获取 交通 流 
量 信息 并 整理 这 些 信息 以 便 进一步 处 理 。 传 感 器 处 理 器 本 身 也 被 主 进程 周期 性 地 轮 询 来 提供 信 
息 。 主 进程 负责 向 操作 者 显示 交通 状况 ， 计 算 交 通信 号 灯 序列 ， 接 受 操作 者 的 指令 来 修改 这 些 序 
列 。 控 制 室 系统 发 送 指令 给 交通 信号 灯 控制 进程 ， 交 通信 号 灯 进 程 把 这 些 命令 转化 为 信号 来 控 
制 交 通信 号 灯 硬 件 。 主 控制 室 系统 本 身 组 织 为 一 个 客户 机 - 服务 器 系统 ， 客 户 机 进程 运行 在 操 
作者 的 控制 台 程 序 。 

我 们 可 以 在 这 样 的 情形 中 使 用 分 布 式 系 统 的 主 从 模型 ， 即 能 够 预测 所 需要 的 分 布 式 处 理 和 
处 理 可 以 很 容易 地 定位 到 从 处 理 器 上 。 这 种 情况 一 般 发 生 在 实时 系统 中 ， 在 实时 系统 中 最 重要 
的 是 要 满足 处 理 的 时 限 。 可 以 使 用 从 处 理 器 于 计算 密集 型 操作 ， 比 如 信号 处 理 和 系统 控制 的 设 
备 管理 。 


18.3.2 两 层 客户 机 - 服务 器 结构 
在 18.2 节 中 讨论 了 客户 机 -服务 器 系统 的 一 般 形式 ， 在 客户 机 - 服务 器 系统 中 一 部 分 应 用 
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系统 运行 在 用 户 的 计算 机 上 (客户 机 ) ， 另 一 部 分 运行 在 远程 计算 机 上 (服务器)。 此 外 ， 还 提 
出 了 一 种 分 层 应 用 模型 ( 见 图 18-6) ， 其 中 系统 中 的 不 同 层 可 能 会 在 不 同 的 计算 机 上 执行 。 

两 层 客户 机 - 服务 器 体系 结构 式 是 客户 机 - 服务 器 体系 结构 最 简单 的 形式 。 系 统 实现 为 一 
个 独立 的 逻辑 服务 器 加 上 不 确定 数目 的 使 用 服务 器 的 客户 机 。 图 18-8 显示 了 这 种 体系 结构 模型 
的 两 种 形式 ; | 

1. 瘦 客 户 机 模型 ， 其 表示 层 在 客户 机 端 实现 ， 其 他 层 (数据 管 理 、 应 用 处 理 和 数据 库 ) 在 
服务 器 上 实现 。 客 户 机 软件 可 能 是 专门 在 客户 机 上 编写 的 程序 以 处 理 表示 。 不 过 ， 更 常见 的 情况 
是 在 客户 机 上 使 用 Web 浏览 器 来 表示 数据 。 

2. 胖 客户 机 模型 一 部 分 或 者 所 有 的 应 用 处 理 都 在 客户 机 上 执行 。 数 据 管理 和 数据 库 功 能 


在 服务 器 上 实现 。 
瘦 客 户 机 m — 
应 用 处理 
表示 — 
ERU. 应 用 处 理 服务 器 
FORET 
四 数据 管理 


图 18-8 瘦 客 户 机 和 胖 客 户 机 的 体系 结构 模型 


瘦 客 户 机 模型 的 优点 是 管理 客户 机 很 简单 。 如 果 存 在 很 多 的 客户 机 那么 管理 就 是 最 主要 的 
问题 ， 因 为 在 所 有 的 客户 机 上 安装 新 的 软件 是 非常 困难 和 昂贵 的 。 如 果 使 用 Web 浏览 器 作为 客 
户 端 就 不 需要 安装 任何 软件 。 

瘦 客 户 机 模型 的 缺点 是 它 将 繁重 的 处 理 负荷 都 放 在 了 服务 器 和 网 络 上 。 服 务 器 负责 所 有 的 
计算 ， 这 将 导致 客户 机 和 服务 器 之 间 的 网 络 上 很 大 的 流量 。 使 用 这 种 模型 来 实现 一 个 系统 可 能 
需要 在 网 络 和 服务 器 容量 上 投 和 人 更 多 。 不 过 ， 浏 览 器 可 以 通过 在 网 页 中 执行 脚本 语言 〈 比 如 
JavaScript) 来 执行 一 些 本 地 的 处 理 。 

胖 客户 机 模型 利用 运行 客户 机 软件 的 计算 机 上 的 处 理 能 力 ， 并 把 部 分 或 所 有 的 应 用 处 理 和 
表示 分 布 到 客户 机 上 。 实 际 上 ， 服 务 器 就 是 一 个 事务 服务 器 ， 即 管理 所 有 的 数据 库 事 务 。 数 据 管 
理 是 简单 的 因为 不 需要 管理 客户 机 和 应 用 处 理 系 统 之 间 的 交互 。 当 然 ， 胖 客户 机 模型 的 问题 是 
它 需 要 额外 的 系统 管理 来 部 署 和 维护 客户 机 上 的 软件 。 

使 用 胖 客户 机 体系 结构 的 一 个 例子 是 银行 的 ATM 系统 ，ATM 系统 向 用 户 提供 现金 和 其 他 的 
银行 服务 。 这 里 ATM 是 一 个 客户 机 ， 服 务 器 是 一 个 典型 的 大 型 主机 ， 在 它 上 面 运行 客户 账户 数 
据 库 。 大 型 主机 是 一 个 为 事务 处 理 而 设计 的 强大 的 机 器 。 因 此 这 个 大 型 主机 可 以 处 理由 ATM 机 、 
其 他 的 柜台 系统 和 在 线 银行 产生 的 大 量 事务 。 自动 取款 机 上 的 软件 执行 很 多 与 用 户 相关 的 处 理 ， 
这 些 处 理 与 交易 有 关 。 

图 18-9 显示 了 ATM 系统 组 成 的 一 个 简化 版 本 。 注 意 ，ATM 不 是 直接 连接 到 客户 账户 数据 
库 上 ， 而 是 连 到 一 个 远程 处 理 (TP) 监控 器 上 。 远 程 处 理 监控 器 是 一 个 中 间 件 系统 ， 它 组 织 
远程 客户 机 和 数据 库 间 的 通信 并 序列 化 客户 机 交易 以 便 数据 库 处 理 。 这 确保 了 交易 的 独立 并 
且 不 会 干涉 其 他 交易 。 使 用 事务 序列 化 的 好 处 是 系统 能 从 错误 中 恢复 而 不 至 于 造成 系统 数据 
HAR» 

一 方面 ， 胖 客户 机 模型 比 瘦 客 户 机 模型 在 分 布 处 理 上 更 有 效 ; 另 一 方面 ， 它 也 使 系统 管 
理 更 复杂 。 应 用 功能 分 散在 许多 不 同 的 计算 机 上 。 当 应 用 软件 不 得 不 变更 时 ， 就 需要 对 每 个 
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客户 机 计算 机 进行 重新 安装 。 当 系统 中 有 数 以 百 计 的 客户 机 时 ， 就 可 能 造成 比较 大 的 成 本 开 
销 。 该 系统 必须 要 设计 得 能 支持 远程 软件 更 新 ， 关 闭 所 有 的 系统 服务 直到 客户 软件 更 新 完毕 
是 很 有 必要 的 。 


远程 处 理 
监控 器 





图 18-9 ATM 系统 的 胖 客户 机 体系 结构 


18.8.3 ”多 层 客户 机 -服务 器 结构 


两 层 客户 机 服务 器 方法 的 根本 问题 是 系统 中 的 逻辑 层 〈 表 示 层 ， 应 用 处 理 层 ， 数 据 管理 层 
和 数据 库 层 ) 必须 要 映射 到 两 个 计算 机 系统 上 : 客户 机 和 服务 器 。 如 果 选 择 的 是 瘦 客 户 机 模型 ， 
则 可 能 导致 伸缩 性 和 性 能 的 问题 ， 若 选择 的 是 胖 客 户 机 模型 ， 则 可 能 有 系统 管理 上 的 问题 。 为 了 
避免 其 中 的 一 些 问题 ， 可 以 使 用 一 种 “多 层 客户 机 - 服务 器 ”的 体系 结构 。 在 这 种 体系 结构 中 ， 
系统 中 的 不 同 层 〈 表 示 层 ， 数 据 管理 层 ， 应 用 处 理 层 和 数据 库 层 ) 是 在 不 同 处 理 器 上 执行 的 独 
立 的 进程 。 

互联 网 银行 系统 (MÆ 18-10) 是 使 用 多 层 客户 机 - 服务 器 体系 结构 的 例子 ， 这 个 系统 中 有 
3 层 。 银 行 的 客户 数据 库 (通常 在 如 上 所 述 的 一 个 大 型 计算 机 上 ) 提供 数据 库 服务 ， 一 个 Web 
服务 器 提供 (如 网 页 的 生成 ) 数据 管理 服务 和 一 些 应 用 服务 。 诸 如 现金 转账 、 生 成 银行 结算 单 
和 工资 单 等 应 用 服务 在 Web 服务 器 上 实现 ， 并 作为 脚本 在 客户 机 上 执行 。 用 户 计算 机 和 浏览 器 
构成 客户 机 。 这 种 系统 是 可 扩展 的 ， 因 为 当 客户 数量 增加 的 时 候 增 加 服务 器 (增加 扩展 ) 相对 
还 是 比较 容易 的 。 





提供 账户 服务 


数据 库 服务 器 


客户 账户 
SQL| 数据 库 











图 18-10 网 上 银行 系统 的 三 层 体系 结构 


在 这 种 情况 下 ,使 用 三 层 体系 结构 可 以 对 Web 服务 器 和 数据 库 服务 器 之 间 信 息 传递 进行 优 
化 。 这 两 个 系统 之 间 的 通信 无 需 基于 互联 网 标准 ， 可 以 使 用 比较 低层 的 数据 交换 协议 。 使 用 支持 
SQL (结构 化 查询 语言 ) 数据 库 查询 的 高 效 中间 件 从 数据 库 取 回信 息 。 

在 系统 中 添加 更 多 的 服务 器 ， 可 以 把 三 层 的 客户 机 - 服务 器 模型 扩展 成 多 层 结构 。 这 可 能 
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包括 使 用 Web 服务 器 管理 数据 ， 使 用 独立 的 服务 器 处 理应 用 程序 以 及 数据 库 服务 。 多 层 系统 适 
合 于 当 应 用 程序 需要 到 不 同 的 数据 库 中 存 取 数 据 的 情况 。 在 这 种 情况 下 ， 或 许 需要 在 系统 中 增 
加 一 个 集成 的 服务 器 。 这 个 集成 服务 器 收集 分 布 式 数据 并 将 其 传递 给 应 用 程序 ， 就 好 像 数 据 是 
在 一 个 单一 的 数据 库 中 一 样 。 如 下 一 节 中 将 要 提 到 的 ， 分 布 组 件 体系 结构 可 以 用 来 实现 多 层 客 
户 及 服务 器 系统 。 

在 多 个 服务 器 上 分 布 应 用 处 理 的 多 层 客 户 机 - 服务 器 系统 本 质 上 比 两 层 的 体系 结构 有 更 强 
伸缩 性 。 应 用 处 理 是 系统 的 最 易 变 的 部 分 ， 由 于 它 位 于 系统 的 中 间 ， 它 也 可 以 很 容易 修改 。 在 某 
些 情况 下 ， 处 理 可 以 分 布 到 不 同 的 应 用 逻辑 和 数据 管理 服务 器 中 ， 以 便 谋求 更 快 的 客户 响应 。 

当选 择 最 适当 的 分 布 式 体系 结构 时 ， 客 户 机 - 服务 器 体系 结构 的 设计 者 必须 考虑 到 多 种 因 
素 。 客 户 机 - 服务 器 体系 结构 的 适应 条 件 如 图 18-11 所 示 。 















遗留 系统 应 用 ， 当 将 应 用 处 理 过 程 和 数据 管理 分 离 是 不 切合 实际 的 时 候 使 用 。 客 
户 机 把 它们 当做 服务 去 访问 ， 如 在 18.4 节 中 所 讨论 的 那样 

计算 密集 的 应 用 ， 例 如 编译 器 ， 很 少 或 根本 没有 数据 管理 

数据 密集 的 应 用 〈 浏 览 和 查询 ) ， 很 少 或 根本 没有 应 用 处 理 。 浏 览 Web 页 面 是 最 
为 普通 的 使 用 此 体系 结构 情形 的 例子 


其 应 用 处 理 是 在 客户 机 上 由 COTS 〈 如 微软 的 Excel) 所 提供 的 这 类 应 用 

需要 密集 的 数据 处 理 〈 如 数据 可 视 化 ) 的 应 用 

移动 应 用 ， 互 联网 链接 无 法 保证 的 应 用 。 某 些 使 用 来 自 数据 库 的 缓存 信息 的 局 部 
处 理 因 而 是 可 能 的 


_ 大 规模 的 应 用 ， 具 有 成 百 上 千 个 客户 机 的 应 用 
三 层 或 多 层 C/S 体 | 数据 和 应 用 都 是 易 变 的 一 类 应 用 
数据 是 由 多 处 经 过 集成 而 得 的 一 类 应 用 








两 层 瘦 客户 机 C/S 
体系 结构 
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图 18-11 客户 机 - 服务 器 体系 结构 模式 的 应 用 


18.3.4 分布 式 组 件 体系 结构 


如 图 18-6 所 示 ， 通 过 把 进程 组 织 到 各 个 层 中 去 ， 系 统 的 每 一 层 可 以 实现 为 一 个 独立 的 逻辑 
服务 器 。 这 个 模型 对 许多 类 型 的 应 用 来 说 能 工作 得 很 好 。 然 而 ， 它 对 系统 设计 者 的 灵活 性 是 一 个 
很 大 的 限制 ， 因 为 设计 者 必须 决定 每 一 层 应 该 包括 哪些 服务 。 然 而 在 实际 中 ， 一 个 服务 到 底 是 数 
据 管 理 服 务 、 应 用 服务 还 是 数据 库 服 务 不 总 是 很 明确 的 。 设计 者 必须 还 要 规划 系统 的 伸缩 性 ， 当 
有 和 较 多 的 客户 机 增加 到 系统 中 时 ， 他 们 要 提供 服务 器 能 被 复制 的 一 些 方法 。 

分 布 式 系统 设计 的 更 通用 方法 是 把 系统 设计 为 一 系列 服务 ， 不 需要 试图 把 这 些 服 务 定 位 到 
系统 中 的 某 一 层 上 。 每 一 个 服务 或 者 相关 的 一 组 服务 是 使 用 独立 的 组 件 实现 的 。 在 分 布 组 件 体 
系 结构 中 〈 见 图 18-12) ， 系 统 被 组 织 成 一 系列 交互 的 组 件 或 对 象 。 这 些 组 件 给 出 了 它们 所 提供 
服务 的 一 个 接口 。 其 他 组 件 通 过 中 间 件 使 用 远程 过 程 或 方法 调用 请 求 这 些 服务 。 

分 布 式 组 件 系统 依赖 于 中 间 件 来 管理 组 件 间 的 交互 ， 弥合 组 件 间 传递 的 不 同类 型 参数 之 间 
的 差异 ， 并 提供 一 系列 公共 服务 供应 用 组 件 使 用 。CORMA ( Orfali 等 ， 1997) 是 这 种 中 间 件 早期 
的 一 个 例子 ,但 是 现在 应 用 的 不 是 很 广泛 了 。 它 已 在 很 大 程度 上 被 专 有 的 软件 所 取代 ， 比 如 企业 
Java Beans (EJB) 或 者 . NET。 

使 用 分 布 组 件 模型 来 实现 分 布 式 系统 的 好 处 如 下 : 

l. 它 允 许 系统 设计 者 延迟 决断 在 哪里 和 如 何 提供 服务 。 提 供 服务 的 对 象 可 以 在 网 络 任何 节 
点 上 运行 。 没有 必要 事先 决定 一 个 服务 是 数据 管理 层 的 一 部 分 还 是 应 用 层 的 一 部 分 等 。 
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图 18-12 分 布 式 组 件 体系 结构 


2. 它 是 一 个 非常 开放 的 体系 结构 ， 允 许 新 的 资源 根据 需要 增加 进来 。 可 以 很 容易 地 添加 新 
的 系统 服务 而 不 会 对 现 有 的 系统 有 很 大 的 影响 。 

3. 系统 具有 很 好 的 柔性 和 可 扩展 性 。 当 系统 负荷 增加 时 ， 增 加 新 的 组 件 或 者 增加 可 复 用 的 
组 件 ， 这 样 做 不 至 于 引起 系统 其 他 对 象 的 混乱 。 

4. 通过 组 件 在 网 络 上 的 迁移 达到 对 系统 的 动态 配置 是 有 可 能 的 。 这 在 服务 需求 模式 不 确定 
的 场合 中 可 能 是 很 重要 的 。 一 个 提供 服务 的 组 件 能 迁移 到 请 求 服务 的 组 件 所 在 的 同一 台 处 理 器 
上 ， 这 样 可 以 改善 系统 的 性 能 。 

分 布 式 组 件 体系 结构 可 以 作为 一 个 逻辑 模型 来 构造 和 组 织 系统 。 在 这 种 情况 下 ， 要 考虑 该 
如 何 提供 应 用 功能 ， 把 这 些 功 能 按照 服务 或 服务 组 合 的 形式 给 出 。 然 后 设计 如 何 利用 分 布 式 组 
件 来 提供 这 些 服务 。 举 例 来 说 ， 在 一 个 零售 应 用 中 可 能 有 关于 库存 控制 、 客 户 通信 、 货 物 订购 等 
应 用 组 件 。 

数据 挖掘 系统 是 这 种 系统 的 一 个 很 好 的 例子 ， 在 数据 挖掘 系统 中 分 布 式 组 件 体系 结构 是 最 
合适 使 用 的 体系 结构 。 数 据 挖 掘 系 统 寻 找 在 多 个 不 同 数据 库 中 数据 间 的 关系 ( 见 图 18-13 ) 。 数 
据 挖掘 系统 通常 从 许多 独立 的 数据 库 中 得 出 信息 ， 执 行 计 算 密 集 型 处 理 以 及 图 形 化 的 显示 结果 。 











图 18-13 数据 挖 据 系 统 的 分 布 式 组 件 体 系 结构 


这 种 数据 挖掘 应 用 的 一 个 例子 可 能 是 一 个 出 售 食物 和 书籍 的 零售 业 系统 。 市 场 部 门 想 要 寻 
找 客户 购买 食物 和 书籍 之 间 的 联系 。 例 如 ， 相 当 多 的 人 在 买 比萨 的 同时 也 会 购买 犯罪 小 说 。 通 过 
这 种 知识 ， 企 业 可 以 在 新 小 说 出 版 的 时 候 明确 地 向 购买 具体 食物 的 客户 提供 新 小 说 的 信息 。 

在 这 个 例子 中 ， 每 个 数据 库 可 以 封装 成 一 个 分 布 式 组 件 ， 提 供 的 接口 提供 只 读 访问 功能 。 集 
成 器 组 件 专注 于 一 种 特别 类 型 的 关系 ， 它 们 从 所 有 的 数据 库 中 收集 信息 来 试 着 推导 出 这 种 关系 。 
可 能 有 一 个 集成 器 关注 食品 销售 的 季节 性 变化 关系 ， 还 有 一 个 关注 不 同类 型 商品 之 间 的 销售 
关系 。 
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可 视 化 组 件 与 集成 器 组 件 交互 来 给 出 所 发 现 的 关系 的 可 视 化 效果 或 报告 。 由 于 所 要 处 理 的 
数据 量 巨大 ， 可 视 化 组 件 通常 图 形 化 地 表示 它们 的 结果 。 量 后 ， 显 示 组 件 可 能 负责 向 客户 端 传 如 
图 形 化 模型 以 便 最 终 的 表现 。 

对 这 一 类 型 应 用 ， 分 布 式 组 件 体系 结构 比 客户 机 - 服务 器 体系 结构 更 适合 ， 因 为 你 可 以 在 
系统 中 增加 新 的 数据 库 而 不 会 有 很 大 的 影响 。 每 一 个 新 的 数据 库 只 是 加 入 另 一 个 访问 分 布 式 组 
件 。 数 据 库 访 问 组 件 提供 一 个 简化 的 界面 以 控制 数据 的 操作 。 访 问 的 数据 库 可 以 存在 于 不 同 的 
机 器 上 。 该 体系 结构 也 使 得 通过 添加 新 的 集成 组 件 来 挖掘 新 的 关系 类 型 变 得 简单 。 

分 布 式 组 件 体系 结构 有 两 个 主要 缺点 : 

l. 其 设计 比 客户 机 - 服务 器 系统 更 复杂 。 多 层 客 户 机 - 服务 器 系统 看 起 来 似乎 更 直观 。 它 
反映 了 很 多 人 的 事务 ， 人 们 从 其 他 专门 提供 这 些 服务 的 人 那里 请 求 和 接收 服务 。 相 反 ， 分 布 式 组 
件 体系 结构 对 于 人 们 来 说 很 难 想象 和 理解 。 

2. 分 布 组 件 系 统 的 标准 化 的 中 间 件 还 从 来 没有 被 软件 社会 所 接受 。 不 同 的 提供 商 比 如 微软 
和 Sun 公司 开发 出 了 不 同 的 也 是 相互 不 兼容 的 中 间 件 。 这 种 中 间 件 非常 复杂 ， 依 赖 它们 会 增加 整 
个 分 布 组 件 系统 的 复杂 度 。 

因为 这 些 问题 ， 在 很 多 情况 下 ， 面 向 服务 的 体系 结构 (在 第 19 章 讨论 ) 取代 了 分 布 组 件 系 
统 体系 结构 。 不 过 ， 分 布 组 件 系统 要 比 面向 服务 的 系统 性 能 更 优越 。RPC 通信 通常 要 比 面向 服 
务 系统 使 用 的 基于 消息 的 交互 更 快 。 因 此 基于 组 件 的 体系 结构 更 适合 高 通 量 的 系统 ， 这 种 系统 
中 大 量 的 事务 需要 及 时 处 理 。 


18.3.5 对 等 体系 结构 


本 章 的 前 几 节 提 到 的 客户 机 - 服务 器 计算 模型 对 于 提供 服务 的 服务 器 和 接收 服务 的 客户 机 
有 明确 的 区 分 。 这 种 模型 通常 导致 系统 不 均衡 的 负载 分 布 ， 其 中 服务 器 要 比 客户 机 做 更 多 的 工 
作 。 这 就 会 导致 花费 很 多 的 组 织 工作 在 服务 器 的 性 能 上 ， 然 而 在 成 千 上 万 的 用 来 访问 系统 服务 
器 的 PC 机 上 却 有 很 多 没有 被 使 用 的 处 理 能 力 。 | 

对 等 系统 (p2p) 是 分 散 式 系统 ， 它 的 计算 是 由 网 络 上 的 任 一 个 节点 来 承担 的 ， 至 少 从 理论 
上 讲 ， 是 不 存在 客户 机 和 服务 器 之 间 的 区 别 的 。 对 于 对 等 式 应 用 ， 总 的 系统 设计 建立 在 潜在 的 巨 
大 的 计算 机 网 络 的 计算 能 力 和 存储 资源 的 优势 上 。 保证 节点 间 能 有 效 通信 的 标准 和 协议 都 是 嵌 
人 于 应 用 系统 本 身 的 ， 每 个 节点 必须 运行 一 个 这 样 的 应 用 的 拷贝 。 

对 等 技术 几乎 都 是 用 于 个 人 系统 ( Oram，2001)。 例 如 ， 我 们 使 用 基于 Gnutella 和 BitTorrent 
协议 的 文件 交换 系统 在 个 人 计算 机 上 共享 文件 ， 又 例如 ， 我 们 使 用 即时 消息 系统 比如 ICQ 和 Jab- 
ber 在 两 个 用 户 之 间 通 信 而 无 需 中 间 服 务 器 提供 支持 。SETIG@ home 是 一 个 长 期 项 目 ， 它 在 家 庭 个 
人 计算 机 上 处 理 来 自 射 电 望远镜 传 来 的 数据 ,搜索 宇宙 中 生命 的 迹象 。Freenet 是 一 个 分 散 式 数 
据 库 ,设计 用 于 匿名 的 信息 发 布 ， 避 免 权 力 机 构 对 这 些 信息 的 查禁 。 利 用 IP 的 声音 电话 服务 
(VOIP) ， 比 如 Skype ,依赖 于 电话 呼叫 或 会 议 的 相关 各 方 之 间 的 对 等 通信 。 

然而 ,企业 也 利用 对 等 系统 来 更 好 地 使 用 它们 个 人 计算 网 络 的 能 力 (McDougall, 2000), In 
tel 公司 和 Boeing 公司 都 实现 了 p2p 系统 用 于 强 计算 应 用 。 这 样 就 利用 了 本 地 计算 机 没有 使 用 的 
处 理 能 力 。 工 程 计算 可 以 整 夜 地 运行 在 没有 使 用 的 桌面 电脑 上 ， 这 取代 了 购买 昂贵 的 高 性 能 硬 
件 。 企 业 也 在 广泛 地 使 用 商务 p2p 系统 ， 比 如 短 消息 系统 和 VOIP 系统 。 

在 两 种 环境 下 系统 适合 使 用 对 等 体系 结构 模型 : 

l. 系统 是 计算 密集 的 并 且 有 可 能 把 需求 的 处 理 分 成 许多 独立 的 计算 。 例 如 ， 支 持 药物 探索 
计算 的 对 等 系统 分 散 了 通过 分 析 大 量 的 分 子 来 寻找 治疗 痛 症 潜在 方法 的 计算 ， 以 此 来 观察 这 些 
分 子 是 否 具 有 所 需求 的 抽 制 癌症 增长 的 特性 。 每 一 个 分 子 都 可 以 独立 地 分 析 ， 所 以 系统 中 的 同 


* 315 


316 . 


第 三 部 分 ”高 级 软件 工程 


行 不 需要 通信 。 

2. 系统 主要 涉及 个 人 计算 机 在 网 络 上 的 信息 交换 ， 没 有 必要 将 这 些 信息 集中 管理 和 储存 。 
这 种 应 用 的 例子 包括 允许 对 等 体 交 换 比 如 音乐 和 视频 等 本 地 文件 的 文件 共享 系统 和 支持 计算 机 
间 语 音 和 视频 通信 的 电话 系统 。 

原则 上 ， 在 对 等 系统 中 网 络 上 的 每 一 个 节点 都 能 够 看 到 每 个 其 他 节点 ， 可 以 与 之 建立 连接 ， 
并 可 以 与 之 直接 交换 数据 。 当 然 ， 实 际 过 程 中 这 是 不 可 能 的 ， 所 以 节点 都 是 以 区 域 来 组 织 的 ， 通 
过 某 些 节 点 作为 桥梁 来 与 其 他 区 域 中 的 节点 群 建立 连接 。 图 18-14 示意 了 这 种 分 散 式 p2p 体系 
结构 。 

在 分 散 式 体 系 结构 中 ， 网 络 中 的 节点 不 仅仅 是 一 个 功能 单元 ， 它 还 是 通信 的 转换 器 ， 能 够 从 
一 个 节点 到 另 一 个 节点 路 由 数据 和 控制 信号 。 例 如 ， 假 设 图 18-14 代表 一 个 分 散 式 文件 管理 系 
统 。 该 系统 由 一 个 研究 人 员 团 体 来 共享 文件 ， 每 一 个 该 团体 中 的 成 员 维护 他 自己 的 文件 库 。 然 
而 ， 当 一 个 文件 被 检索 到 ， 这 个 检索 文件 的 节点 还 要 使 之 对 所 有 节点 都 是 可 用 的 。 





图 18-14 集中 式 p2p 体系 结构 


如 果 有 谁 需要 一 个 储存 在 网 络 中 某 个 地 方 的 一 个 文件 ， 就 发 出 一 个 搜索 命令 给 本 区 域 中 的 
节点 。 这 些 节点 检查 是 否 它们 有 所 要 的 文件 ， 如 果 有 ， 则 将 信息 发 回 给 请 求 者 ， 如 果 它 们 没有 、 
AHR RAIA A Ht 如 果 nl 发 出 对 某 个 存储 于 节点 nl0 上 的 文件 的 搜索 命 

， 该 搜索 路 由 经 过 节点 n, nAn, BIB 可 0。 当 文件 最 终 得 以 发 现 ， 节 皮 先 持 有 这 个 文人 
搂 着 通过 对 等 连接 把 文件 直接 发 送 给 请 求 节点 

这 种 分 散 式 体系 结构 的 优点 在 于 它 是 高 度 宛 余 的 ， 所 以 它 是 容错 的 而 且 是 容许 节点 从 网 络 
中 断 开 。 然 而 ， 系 统 的 缺点 是 相同 的 搜索 会 被 很 多 不 同 的 节点 来 处 理 ， 这 种 重复 的 对 等 通信 是 开 
支 很 大 的 。 

一 种 蔡 代 的 p2p 体系 结构 模型 是 不 同 于 单纯 pp 体系 ea 
结构 的 半分 散 式 体系 结构 ， 即 在 网 络 中 ， 有 一 个 或 多 个 节 ee 
点 充当 服务 器 来 提供 对 其 他 节点 的 通信 。 这 减少 了 节点 之 
间 的 流量 ， 图 18-15 说 明了 这 个 模型。 

在 半 集中 式 体系 结构 中 ， 服 务 器 (有 时 叫做 超级 对 等 
体 ) 的 作用 是 帮助 建立 网 络 中 两 个 节点 之 间 的 联系 ， 或 者 
是 协调 计算 的 结果 。 例 如 ， 如 果 图 18-15 代表 个 即时 消息 
系统 ， 那 么 网 络 节点 与 服务 器 通信 (用 虚线 表示 ) 来 寻找 ISIS 半 集 中式 pp 体系 结构 
FAULTS, BRT EN. meee Efe RMR UNA 
就 不 再 逢 要 了 。 因 而 ， 节 点 2、 3. S 1 FILLERS 





超级 对 等 体 ， 它们 的 作用 是 将 工作 分 布 到 符 个 其 他 节点 上 并 收入 和 认得 计算 的 结 叶 生 
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对 等 体系 结构 允许 网 络 能 力 的 有 效 使 用 。 不 过 ， 阻 碍 这 种 体系 结构 应 用 的 最 主要 的 问题 是 
信息 安全 和 信任 问题 。 对 等 通信 需要 开放 你 的 电脑 直接 与 其 他 的 对 等 体 交 互 ， 这 意味 着 这 些 系 
统 有 洪 在 可 能 访问 你 的 任何 资源 。 为 了 应 对 这 种 情况 ,需要 组 织 你 的 系统 来 保护 这 些 资源 。 如 果 
没有 做 好 这 些 ， 你 的 系统 就 是 不 安全 的 。 

问题 也 可 能 发 生 在 网 络 上 的 对 等 体 故 意 地 做 违法 的 事 。 例 如 ， 曾 有 这 样 的 情况 ， 认 为 自己 的 
版 权 遭 到 滥用 的 音乐 公司 其 实 故意 提供 “有 毒 的 对 等 体 ”。 当 其 他 的 对 等 体 下 载 他 们 认为 的 音乐 
文件 时 ， 真 正 交 付 的 文件 却 是 流 误 软 件 ， 这 种 流 误 软件 可 能 是 版 本 故意 损坏 的 音乐 或 者 是 对 用 
户 侵犯 版 权 的 一 个 警告 。 


18.4 软件 作为 服务 


在 前 几 节 ， 讨 论 了 客户 机 - 服务 器 模型 以 及 功能 是 如 何在 客户 机 和 服务 器 之 间 分 布 的 。 为 
了 实现 一 个 客户 机 - 服务 器 系统 ， 可 能 需要 在 客户 机 上 安装 程序 并 管理 用 户 界 面 。 例 如 ， 一 个 像 
Outlook 或 Mac Mail 的 邮件 客户 端 ， 在 自己 的 计算 机 上 提供 邮件 管理 的 特征 。 这 避免 了 所 有 的 进 
程 都 运行 在 服务 器 上 的 瘦 客 户 机 系统 的 一 些 问 题 。 

不 过 ， 通 过 使 用 当前 的 浏览 器 作为 客户 端 软件 的 方法 ， 服 务 器 超 负荷 的 问题 得 到 了 明显 的 
改善 。Web 技术 ， 比 如 AJAX (Holdener，2008) ， 支 持 网 页 表示 的 有 效 管理 和 通过 脚本 语言 的 本 
地 计算 。 这 意味 着 浏览 器 可 以 作为 客户 端 配 置 和 使 用 ， 有 很 强 的 本 地 处 理 能 力 。 应 用 软件 可 以 被 
看 做 远程 服务 ， 可 以 被 任何 运行 标准 浏览 器 的 设备 访问 。 众 所 周知 的 一 个 例子 是 基于 Web 的 邮 
件 系统 ， 例 如 Yahoo! 和 Gmail 以 及 办 公 应 用 比如 Google docs, 

SaaS 这 个 概念 涉及 远程 地 托管 软件 以 及 通过 互联 网 提供 对 软件 的 访问 。Saas 的 关键 要 素 
如 下 ， 

1. 软件 部 署 在 一 台 服 务 器 上 (更 一 般 的 情形 是 很 多 台 服 务 器 ) 并 且 可 以 通过 Web 浏览 器 访 
问 。 软 件 不 是 部 署 在 本 地 PC 机 上 的 。 

2. 软件 提供 商 拥 有 和 管理 该 软件 ， 而 不 是 使 用 软件 的 机 构 拥 有 它 。 

3. 用户 为 使 用 该 软件 付费 ， 根 据 他 们 的 使 用 量 或 者 包 年 包月 来 支付 。 有 时 ， 该 软件 免费 地 
给 所 有 人 使 用 ， 但 是 用 户 必须 同意 接受 广告 ， 因 为 广告 为 软件 服务 提供 资金 。 

对 于 软件 使 用 者 ，Saas 的 好 处 在 于 软件 管理 的 花费 转移 给 了 提供 商 。 软 件 提供 商 负 责 修复 
错误 和 升级 软件 ， 处 理 操作 系统 平台 的 变化 ， 确 保 硬 件 性 能 满足 需求 。 软 件 许可 管理 成 本 是 零 。 
如 果 某 个 人 有 多 台 计 算 机 ， 不 需要 为 所 有 的 计算 机 注册 软件 。 如 果 一 个 软件 应 用 只 是 偶尔 才 被 
用 到 ， 那 么 按 每 次 使 用 支付 要 比 购买 这 个 应 用 更 便宜 。 比 如 手机 这 种 移动 设备 可 以 在 世界 的 各 
个 地 方 访问 软件 。 

当然 ， 这 种 软件 提供 模型 也 有 一 些 缺 点 。 主 要 问题 可 能 是 数据 传输 到 远程 服务 上 的 花费 。 数 
据 传输 在 网 络 传输 速度 慢 时 ， 大 流量 数据 要 花费 大 量 的 时 间 。 你 或 许 还 要 根据 传输 量 向 服务 提 
供 商 支付 费用 。 其 他 问题 包括 缺少 对 软件 演化 的 控制 (提供 商 可 能 在 他 们 觉得 合适 的 时 候 来 更 
新 软件 ) ， 以 及 法 律 法 规 的 问题 。 许 多 国家 有 专门 的 法 律 来 规定 数据 的 存储 、 管 理 、 维 护 和 访 
问 ， 移 动 数据 到 远程 的 服务 可 能 会 触犯 这 些 法 律 。 

SaaS 的 概念 和 第 19 章 要 讨论 的 面向 服务 的 体系 结构 (SOA) 显然 是 很 相关 的 但 又 不 一 样 ， 

1. SaaS 是 在 远程 服务 器 上 提供 功能 客户 机 通过 Web 浏览 器 访问 的 一 种 方法 。 服 务 器 在 交互 
会 话 期 间 维持 用 户 的 数据 和 状态 。 事 务 常常 是 长 事务 (例如 ， 编 辑 文件 ) 。 

2. SOA 是 把 软件 系统 构建 为 一 系列 单独 的 无 状态 服务 的 方法 。 这 些 服 务 或 许 由 多 个 提供 商 
提供 并 且 可 能 是 分 布 的。 典型 地 ， 事 务 是 短 事务 ， 服 务 被 调用 ， 做 一些 处 理 ， 接 着 返回 结果 。 

SaaS 是 向 用 户 传送 应 用 功能 的 方法 ， 而 SOA 是 应 用 系统 的 一 种 实现 技术 。 使 用 SOA 实现 


- 317 


318 - 


第 三 部 分 ”高 级 软件 工程 


的 功能 不 需要 向 用 户 显示 为 服务 。 同 样 的 ， 用 户 服务 也 不 需要 使 用 SOA 来 实现 。 不 过 ， 如 果 
SaaS 是 使 用 SOA 实现 的 ， 那 么 应 用 程序 就 可 能 使 用 服务 APT 来 访问 其 他 应 用 程序 的 功能 。 它 
们 然后 可 以 整合 到 一 个 更 复杂 的 系统 。 这 叫做 混合 ， 代 表 了 软件 复 用 和 快速 软件 开发 的 另 一 
种 方法 。 

从 软件 开发 的 角度 来 看 ， 服 务 的 开发 过 程 与 其 他 的 软件 开发 有 很 多 的 相似 之 处 。 不 过 ， 服 务 
的 构建 通常 不 是 由 客户 的 需求 驱动 的 ， 但 是 服务 提供 商 假设 用 户 会 需要 什么 。 因 此 软件 需要 能 
够 在 得 到 用 户 的 需求 反馈 后 很 快 地 演变 。 因 此 ， 敏 捷 开 发 和 增 量 式 交付 是 软件 作为 服务 开发 党 
用 的 一 种 方法 。 

当 要 实现 SaaS 的 时 候 必 须要 考虑 可 能 会 有 许多 不 同 机 构 的 软件 用 户 。 必 须要 考虑 到 以 下 
3 点 : 

1. 可 配置 性 ”如 何 为 每 一 个 机 构 的 集体 需求 配置 软件 ? 

2. 多 重 租赁 性 ”如 何 让 每 一 个 用 户 感 觉 到 他 们 正在 使 用 他 们 自己 的 系统 副本 ， 而 同时 能 高 
效 地 使 用 系统 资源 ? 

3， 可 扩展 性 ”如 何 设计 系统 以 至 于 可 以 扩展 来 容纳 不 可 预测 的 大 量 用 户 。 

fe 16 章 讨 论 的 产品 线 体系 结构 的 概念 是 配置 系统 满足 用 户 的 多 重 但 不 完全 相同 的 需求 的 一 
种 方法 。 从 一 种 通用 的 系统 开始 ， 并 根据 每 个 用 户 的 具体 需求 调整 系统 。 

不 过 ， 这 对 于 SaaS 是 不 起 作用 的 ， 因 为 这 将 意味 着 为 使 用 这 种 软件 的 每 个 机 构 开发 服务 的 
一 个 不 同 副本 。 所 以 ， 需 要 在 系统 中 设计 可 配置 性 并 提供 一 个 配置 接口 以 便 允 许 用 户 指定 他 们 
的 性 能 。 当 软件 使 用 的 时 候 使 用 这 些 来 动态 的 适应 软件 的 行为 。 配 置 设施 可 能 会 允许 以 下 内 容 : 

1. 品牌 化 ， 为 每 一 个 机 构 的 用 户 提供 一 个 反映 他 们 机 构 的 接口 。 

2. 业务 规则 和 工作 流 ， 每 个 机 构 定义 自己 的 服务 和 数据 使 用 的 规则 。 

3. 数据 库 扩展 ， 每 个 机 构 定义 如 何 将 通用 服务 数据 模型 扩展 为 能 满足 特殊 的 需求 的 模型 。 

4. 访问 控制 ， 服 务 的 客户 为 他 们 的 员工 建立 个 人 账户 并 为 他 们 的 每 个 用 户 定制 可 访问 的 资 


. 源 和 功能 。 


图 18-16 说 明了 这 种 情况 ， 这 个 图 显示 了 应 用 服务 的 5 个 用 户 ， 他 们 分 属于 这 个 服务 供应 商 
的 3 个 不 同 的 客户 。 用 户 与 服务 的 交互 是 通过 客户 资料 文档 中 为 员工 所 定义 的 服务 配置 进行 的 。 





图 18-16 软件 系统 作为 服务 的 配置 

多 重 租赁 性 是 这 样 一 种 情况 ， 许 多 不 同 的 用 户 访问 相同 的 系统 并 且 定义 的 系统 体系 结构 允 
许 系统 资源 的 有 效 共 享 。 不 过 ， 对 于 每 个 用 户 来 说 必须 感觉 他 们 在 唯一 地 使 用 系统 资源 。 多 重 租 
赁 性 涉及 系统 设计 所 以 在 系统 功能 和 系统 数据 之 间 要 有 一 个 绝对 的 分 离 。 因 此 ， 应 该 把 系统 设 
计 成 所 有 的 操作 都 是 无 状态 的 。 数 据 要 么 应 该 由 客户 机 提供 ， 要 么 应 该 在 存储 系统 或 数据 库 中 
可 以 被 所 有 的 系统 实例 访问 。 关 系数 据 库 对 于 提供 多 重 租赁 性 是 不 合适 的 ， 很 多 大 型 服务 提供 
商 比 如 Google 已 经 为 用 户 数据 实现 了 一 个 更 简单 的 数据 库 。 

多 重 租赁 的 系统 的 一 个 特别 的 问题 是 数据 管理 。 提 供 数 据 管 理 最 简单 的 办 法 是 让 每 个 客 
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户 有 自己 的 数据 库 ， 这 个 数据 库 可 以 按照 他 们 的 想法 使 用 和 配置 。 不 过 ， 这 需要 服务 提供 商 维护 
许多 不 同 的 数据 库 实例 “每 个 客户 一 个 ) 并 使 这 些 数据 库 在 需求 的 时 候 是 可 用 的 。 这 对 于 系统 
性 能 来 说 是 非常 低 效 的 ， 并 且 增 加 了 系统 的 整体 成 本 。 

另外 一 种 方法 是 ， 服 务 提供 商 可 以 使 用 一 个 单一 的 数据 库 ， 在 数据 库 中 虚拟 地 隔离 不 同 的 
用 户 。 图 18-17 说 明了 这 一 点 ， 可 以 看 到 数据 库 入 口 还 有 一 个 “ 租 客 标识 符 ”， 这 个 标识 符 将 数 
据 人 口 关 联 到 特别 的 用 户 上 。 通 过 使 用 数据 库 视 图 ， 你 可 以 为 每 一 个 服务 的 客户 提取 出 数据 人 
口 ， 以 此 提供 给 此 客户 单位 中 的 用 户 一 个 虚拟 的 个 人 数据 库 。 使 用 上 面 提 到 的 配置 特征 ， 可 以 扩 
展 这 种 方法 来 满足 具体 的 客户 需要 。 





图 18-17 多重 租赁 数据 库 


可 扩展 性 是 系统 可 以 处 理 不 断 增 加 的 用 户 数量 而 不 降低 向 每 个 用 户 提供 的 整体 的 QoS (服务 
质量 ) 的 一 种 能 力 。 通 常 ， 当 在 Saas 的 环境 下 考虑 可 扩展 型 时 ， 我 们 采用 的 是 “增加 扩展 ”而 
不 是 “增强 扩展 "” 。 回 忆 一 下 ,“ 增 加 扩展 ”是 指 增加 更 多 的 服务 器 ， 由 此 也 增加 可 以 并 行 处 理 
的 事务 数量 。 可 扩展 性 是 个 复杂 的 话题 ， 这 里 不 展开 详细 讨论 ， 但 是 可 扩展 软件 的 一 般 准 则 
如 下 : 

l. 所 开发 的 应 用 要 使 得 每 一 个 组 件 都 实现 为 简单 的 无 状态 服务 ， 每 一 个 服务 都 可 以 运行 在 
任何 一 个 服务 器 上 。 因 而 在 单一 事务 过 程 中 ， 用 户 可 以 与 运行 在 多 个 不 同 服务 器 上 的 相同 服务 
的 多 个 实例 交互 。 

2. 使 用 异步 交互 来 设计 系统 ， 这 样 应 用 程序 就 不 需要 等 待 交互 的 结果 ( 比如 一 个 读 请 求 ) 。 
这 将 允许 应 用 程序 在 等 待 交互 的 结束 的 同时 可 以 继续 执行 现在 的 工作 。 

3. 管理 资源 ， 比 如 网 络 和 数据 库 连 接 ， 将 所 有 资源 作为 一 个 公用 池 ， 因 此 不 让 任何 一 个 服 
务 器 游离 在 资源 之 外 。 

4. 设计 你 的 数据 库 以 允许 细 粒 度 的 上 锁 。 即 当 只 有 记录 的 一 部 分 在 使 用 时 没 必 要 锁定 数据 
库 中 的 所 有 记录 。 

SaaS 的 概念 是 分 布 式 计算 的 一 个 主要 模式 转变 。 与 在 自己 的 服务 器 上 管理 多 个 应 用 程序 的 
组 织 方式 相 比 ，SaaS 允许 不 同 的 厂商 从 外 部 提供 这 些 应 用 程序 。 我 们 正在 经 历 从 一 个 模型 到 另 
一 个 模型 的 转换 ， 未 来 ， 它 可 能 在 企业 软件 系统 工程 方面 产生 巨大 的 影响 。 


要 点 


m 分 布 式 系统 的 好 处 是 在 于 它 可 以 调整 以 应 对 日 益 增 长 的 需求 ， 可 以 持续 地 向 用 户 提供 服务 
(即使 系统 的 某 些 部 分 失败 ) ， 而 且 使 资源 得 到 共享 。 

昌 分布 式 系统 的 设计 需要 考虑 的 问题 包括 : 透明 性 ， 开 放 性 ， 可 扩展 性 ， 信 息 安 全 性 ， 服 务 
质量 和 失败 管理 。 

四 客户 机 - 服务 器 系统 是 分 布 式 系统 ， 其 中 系统 构建 为 层次 结构 ， 表 现 层 在 客户 机 上 实现 。 
服务 器 提供 数据 管理 、 应 用 和 数据 库 服务 。 

m 客户 机 -- 服务 器 系统 可 能 有 许多 层 ， 系 统 的 不 同 层 分 布 在 不 同 的 计算 机 上 。 
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u 分 布 式 系统 的 体系 结构 模式 包括 主 从 体系 结构 ， 两 层 和 多 层 客户 机 - 服务 器 结构 ， 分 布 式 
组 件 体 系 结构 和 对 等 体系 结构 。 

m 分 布 式 组 件 体系 结构 需要 中 间 件 来 处 理 组 件 间 的 通信 并 人 允许 在 系统 中 增加 和 删除 组 件 。 

n 对 等 体系 结构 是 分 散 式 体系 结构 ， 其 中 没有 区 分 客户 机 和 服务 器 。 计 算 可 以 分 布 在 不 同 机 
构 的 很 多 系统 中 。 

a 软件 作为 服务 是 把 应 用 部 署 为 瘦 客 户 机 - 服务 器 系统 的 一 种 方法 ， 其 中 客户 端 是 Web 浏 
览 器 。 i 


(Middleware: A model for distributed systems service》 这 是 一 篇 非常 优秀 的 综述 性 文章 ， 它 总 
结 了 中 间 件 在 分 布 式 系统 中 的 作用 ， 并 讨论 了 中 间 件 能 提供 的 服务 范围 (P. A. Bernstein, 
Comm. ACM, 39 (2), February 1996) , http://dx. doi. org/10. 1145/230798. 230809, 

(Peer-to-Peer; Harnessing the Power of Disruptive Technologies) 尽管 这 本 书 并 没有 太 多 关于 p2p 
体系 结构 的 内 容 ， 但 是 它 是 对 p2p 计算 的 一 个 很 棒 的 介绍 ， 也 讨论 了 在 多 个 p2p 系统 中 所 采用 的 
结构 和 方法 (A. Oram (ed), O° Reilly and Associates, Inc. 2001) 。 

(Turing software into a service》 这 是 一 篇 综述 文章 ， 讨 论 了 面向 服务 计算 的 一 些 准则 。 不 像 很 多 此 
主题 的 其 他 文章 ， 它 揭示 了 隐藏 于 很 多 标准 背后 的 这 些 准 则 (M. Turner, D. Budgen and P. Brereton, 
IEEE Computer, 36 (10), October 2003). http://dkx. doi. org/10. 1109/MC. 2003. 1236470, 

(Distributed Systems; Principles and Paradigms, 2nd edition) 是 一 本 讨论 分 布 式 系 统 设 计 和 实 
现 的 综合 性 教科 书 。 不 过 ， 书 中 并 没有 包括 面向 服务 范式 的 讨论 (A.S. Tanenbaum and M. Van 
Steen, Addison-Wesley, 2007) 。 

《Software as a Service; The Spark that will Change Software Engineering) 讨论 SaaS 的 到 来 将 会 
推动 所 有 软件 开发 使 用 迭代 模型 的 一 篇 短文 (G. Goth, Distributed System Online, 9 (7), July 
2008), http; //dx. doi. org/10. 1109/MDSO. 2008. 21 , 


练习 


18.1 如 何 理解 “可 扩展 性 ?? 讨论 “增强 扩展 ”和 “增加 扩展 ”的 区 别 并 解释 何 时 使 用 这 些 不 同 的 可 扩 
展 性 方法 ? 

18.2 解释 为 什么 分 布 式 软件 系统 要 比 所 有 的 系统 功能 都 实现 在 单一 计算 机 上 的 集中 式 软件 系统 更 复杂 ? 

18.3 用 一 个 远程 过 程 调用 的 例子 来 说 明 中 间 件 是 如 何在 分 布 式 系统 中 协调 各 计算 机 之 间 的 交互 的 ? 

18.4 在 客户 机 -服务 器 系统 体系 结构 中 ， 胖 客户 机 和 瘦 客 户 机 方法 的 根本 差别 在 哪里 ? 

18.5 ”假如 要 求 你 设计 一 个 需要 强身 份 认证 和 权限 认证 的 信息 安全 系统 。 该 系统 必须 保证 系统 中 各 个 部 分 
之 间 的 通信 不 能 被 入 侵 者 拦截 和 读 取 。 提 出 该 系统 最 合适 的 客户 机 - 服务 器 体系 结构 ， 并 解释 为 什 
么 你 如 此 设计 ， 在 客户 机 和 服务 器 之 间 功 能 应 该 如 何 分 布 ? 

18.6 ”假设 要 开发 一 个 股票 信息 系统 ， 向 客户 提供 对 公司 信息 的 访问 并 能 够 利用 仿真 系统 对 各 种 投资 情形 
做 出 评 佑 。 不 同 的 客户 会 根据 他 们 的 经 验 而 采取 不 同 的 投资 方式 ， 而 且 购 买 的 股票 类 型 也 是 不 同 的 。 
为 系统 提出 一 个 客户 机 - 服务 器 体系 结构 ， 指 出 各 个 功能 是 在 哪里 实现 的 ， 并 对 该 模型 做 出 一 些 
判断 。 

18.7 使 用 分 布 式 组 件 的 方法 ， 为 国家 剧院 订 票 系统 设计 一 个 体系 结构 。 用 户 可 以 查询 空 座 以 及 预订 一 组 
剧场 的 座位 。 系 统 应 当 支 持 退 票 ， 因 此 ， 人 们 可 以 退 掉 他 们 的 票 以 便 剧 院 在 最 后 一 分 钟 将 票 转 售 给 
其 他 客户 。 

18. 8 ”分 别 给 出 分 散 的 体系 结构 和 半 集 中 的 对 等 体系 结构 的 两 个 优点 和 两 个 缺点 。 

18.9 解释 为 什么 以 将 软件 部 署 为 一 种 服务 可 以 减少 公司 的 IT 支持 花 销 。 
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18.10 ”你 的 公司 想 要 从 使 用 桌面 应 用 程序 转变 为 以 服务 的 方式 访问 远程 相同 的 功能 。 确 定 3 个 可 能 出 现 的 
风险 并 建议 如 何 可 以 减少 这 些 风险 。 
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目标 

本 章 的 目标 是 介绍 面向 服务 的 软件 体系 结构 ， 这 是 一 种 使 用 Web 服务 来 构建 分 布 式 应 用 程 
序 的 方式 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 

m Web 服务 的 基本 概念 、Web 服务 标准 ， 以 及 面向 服务 的 体系 结构 ; 

m 介绍 旨 在 产生 可 复 用 的 Web 服务 的 服务 工程 过 程 ; 

mu 介绍 服务 组 成 的 概念 ， 这 是 一 种 作为 面向 服务 的 应 用 开发 的 手段 ; 

u 理解 为 什么 业务 过 程 模型 可 作为 一 个 面向 服务 系统 的 设计 基础 。 

在 20 世纪 90 年 代 ， 网 络 技术 的 发 展 彻底 改变 了 机 构 的 信息 交流 方式 。 客 户 计算 机 可 以 访问 
它们 机 构 外 的 远程 服务 器 来 获得 信息 。 但 是 ， 这 种 访问 完全 是 通过 Web 浏览 器 进行 的 ， 要 想 使 
用 其 他 程序 来 对 信息 库 进 行 直接 访问 是 不 实际 的 。 也 就 是 说 ， 在 服务 器 之 间 进 行 随意 的 连接 
(比如 一 个 程序 从 不 同 的 提供 商 查 询 多 个 目录 ) 是 不 可 能 做 到 的 。 

为 了 解决 这 个 问题 ， 人 们 提出 了 Web 服务 的 概念 。 使 用 Web 服务 ， 机 构 通 过 定义 和 建立 一 
个 Web 服务 界面 就 可 让 自己 的 信息 被 别 的 程序 访问 。 这 个 界面 定义 可 用 的 数据 和 如 何 访问 这 些 
数据 。 更 一 般 的 情况 ，Web 服务 是 一 个 标准 的 计算 资源 或 信息 资源 的 表示 ， 这 些 资源 可 以 被 其 
他 程序 使 用 。 这 些 可 能 是 信息 资源 ， 例 如 一 个 零件 目录 ; 也 可 以 是 计算 机 资源 ， 例 如 一 个 专门 的 
处 理 器 ; 或 者 是 存储 资源 ， 例 如 ， 在 档 服务 能 够 实现 对 商店 数据 的 长 期 、 可 靠 存储 ， 依 据 法 律 这 
些 组 织 数 据 必须 保持 多 年 。 

Web 服务 是 更 一 般 的 服务 概念 的 一 个 实例 ， 对 于 一 般 的 服务 概念 ， 由 Lovelock 给 出 的 定义 
(Lovelock 等 ，1996) 是 这 样 的 : 

由 一 个 团体 向 另 一 个 团体 提供 的 行动 或 能 力 。 尽 管 这 个 过 程 可 能 是 与 一 个 有 形 的 产品 联系 
在 一 起 的 ， 但 是 能 力 本 质 上 是 无 形 的 ， 一 般 不 会 产生 对 任何 作品 因素 的 拥有 权 。 

因而 ， 服 务 的 本 质 是 服务 的 提供 独立 于 使 用 服务 的 应 用 (Turner 等 ，2003 ) ， 服 务 提供 者 能 
开发 专业 性 服务 并 提供 面向 不 同 机 构 中 的 某 个 范围 内 的 服务 用 户 。 

面向 服务 的 体系 结构 (SOA) 是 一 种 开发 分 布 式 系 统 的 方法 ,分布 式 系统 的 系统 组 件 是 单机 
服务 ， 这 些 服务 在 不 同 地 理 位 置 的 计算 机 上 执行 。 基 于 XML 标准 的 协议 ,例如 SOAP 和 WSDL, 
这 些 设计 支持 服务 通信 和 信息 交换 。 因 此 ， 服 务 是 与 平台 和 实现 语言 无 关 的 。 软 件 系统 可 以 通过 
使 用 本 地 的 服务 和 不 同 提供 商 提供 的 外 部 服务 来 构建 ， 这 些 服务 之 间 可 以 做 到 无 缝 交互。 

图 19-1 封装 了 SOA 的 思想 。 服 务 的 提供 商 设计 (UDDI) 
和 实现 服务 并 定义 了 这 些 服务 的 接口 。 他 们 也 发 布 
这 些 服务 的 有 关 信 息 到 能 访问 到 的 注册 表 。 那 些 希 
望 利 用 某 项 服务 的 服务 请 求 者 〈 有 时 叫做 服务 客户 ) 
发 现 某 个 服务 的 描述 ， 从 而 也 定位 服务 的 提供 者 。 
然后 他 们 能 够 将 自己 的 应 用 绑 定 到 特定 的 服务 并 使 
用 标准 的 服务 协议 与 之 通信 。 . 

从 一 开始 ， 伴 随 着 技术 发 展 ， 一 直 有 一 个 活跃 图 19-1 面向 服务 的 体系 结构 
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的 SOA 标准 化 过 程 。 所 有 主要 硬件 和 软件 公司 都 接受 这 些 标 准 。 结 果 是 ， 面 向 服务 的 体系 结构 
没有 受到 不 兼容 性 的 困扰 ， 而 在 技术 革新 过 程 中 ， 在 不 同 厂商 维护 他 们 各 自 的 技术 版 权 的 地 方 ， 
通常 都 会 出 现 不 兼容 性 问题 。 图 192 给 出 了 已 经 建立 的 一 些 支持 Web 服务 的 关键 标准 。 由 于 早 
期 的 标准 化 ， 有 些 问题 ， 如 第 17 章 中 讨论 的 CBSE 中 的 多 个 不 兼容 组 件 模型 问题 ， 并 没有 出 现 
在 面向 服务 的 系统 开发 中 。 

Web 服务 协议 覆盖 了 面向 服务 的 体系 结构 的 所 有 方面 从 基本 的 服务 信息 交换 (SOAP) 机 
制 到 编程 语言 标准 (WS - BPEL) 。 这 些 标准 全 部 基于 XML 一 一 一 种 人 和 计算 机 都 可 识别 的 标记 
语言 ， 它 允许 定义 结构 化 的 数据 ， 其 中 文本 用 一 个 有 意义 的 标识 符 来 标记 。XML 有 一 系列 的 支 
持 技 术 ， 例 如 用 于 模式 定义 的 XSD， 它 用 于 扩展 和 处 理 XML 描述 。Ed (Erl, 2004) 提供 了 一 个 
AK XML 技术 以 及 它们 在 Web 服务 中 作用 的 一 个 很 好 的 概述 。 

简要 地 说 ， 面 向 Web 服务 的 体系 结构 的 主要 标准 有 : 

1. SOAP 这 是 一 个 支持 服务 之 间 通 信 的 消息 交换 标准 。 它 定义 服务 之 间 消 息 传递 的 必需 的 
和 可 选 的 组 件 。 

2. WSDL Web 服务 定义 语言 (WSDL) 是 制定 服务 接口 的 标准 。 它 给 出 了 服务 是 如 何 操 作 
的 (操作 和 名、 参数 、 它 们 的 类 型 ) 以 及 必须 定义 的 服务 绑 定 。 

3. WS-BPDL 这 是 一 个 工作 流 语言 的 标准 ， 工 作 流 语言 用 来 定义 包括 多 个 不 同 服 务 的 过 程 
程序 。19. 3 节 讨论 过 程 程序 的 概念 。 

服务 发 现 标准 (UDD) 也 被 提 到 过 但 还 没有 广泛 采用 。UDDI (通用 描述 、 发 现 和 集成 ) 标 
准 定义 了 服务 描述 的 组 件 ， 这 种 组 件 可 用 来 发 现 服务 是 否 存在 。 它 们 包括 的 信息 主要 有 : 服务 提 
供 者 ， 所 提供 的 服务 ， 服 务 接 口 的 WSDL 描述 的 位 置 ， 以 及 业务 关系 的 信息 。 目 的 是 这 一 标准 将 
允许 公司 建立 对 他 们 所 提供 服务 的 UDDI 描述 的 注册 表 。 


XML 技 术 (XML,XSD,XST, 等 等 ) 


支持 (WS- 安 全 ，WS- 寻 址 ， 等 等 ) 


过 程 (WS-BPEL) 


服务 定义 (UDDI,WSDL) 


消息 发 送 (SOAP) 





| 传输 (HTTP HTTPS_ SMTP, 等 等 ) 一 





E 19-2 Web 服务 标准 


许多 的 公司 ， 比 如 微软 ， 在 21 世纪 初期 就 建立 了 UDD 注册 ， 但 是 这 些 注册 应 该 已 经 全 部 
关闭 。 搜 索引 擎 技术 的 发 展 使 得 它们 变 得 多 余 。 服 务 搜索 使 用 一 种 标准 的 搜索 引擎 来 搜索 适当 
评注 的 WSDL 描述 ， 这 是 现在 发 现 外 部 服务 的 首选 方式 。 

主要 的 SOA 标准 受到 一 系列 SOA 的 更 专业 方面 的 标准 的 支持 。 存 在 着 非常 多 的 支持 标准 ， 
因为 它们 希望 在 不 同类 型 的 应 用 中 支持 SOA。 这 些 标 准 的 例子 包括 : 

l. WS-Reliable Messaging， 是 一 个 确保 消息 将 会 传递 一 次 且 只 一 次 的 消息 交换 标准 。 

2. WS-Security， 是 一 套 支 持 Web 服务 信息 安全 性 的 标准 ， 包 括 指定 信息 安全 政策 定义 的 标 
准 和 覆盖 数字 签名 使 用 的 标准 。 l 

3. WS-Addressing， 定 义 在 一 个 SOAP 消息 中 如 何 表达 地 址 信息 。 
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4. WS-Transactions ， 指 定 在 分 布 的 服务 之 间 的 事物 应 该 怎样 协调 。 

Web 服务 标准 是 一 个 很 大 的 话题 ， 这 里 无 法 详细 地 讨论 它们 。 有 兴趣 的 读者 可 以 阅读 Erl (2004; 
2005) 的 书 ， 以 了 解 这 些 标准 的 概况 。 有 关 它 们 的 详细 描述 也 可 以 通过 Web 上 的 公开 文档 获得 。 

当前 Web 服务 标准 被 批评 为 过 于 笼统 、 效 率 低 下 的 “重量 级 ”标准 。 实 现 这 些 标 准 需要 相 
当 大 的 过 程 来 创建 、 传 输 和 解释 相关 的 XML 信息 。 由 于 这 一 原因 ， 许 多 机 构 ， 例 如 Amazon, ff 
用 一 种 更 简单 、 更 有 效 的 方法 进行 服务 通信 ， 它 们 使 用 所 谓 的 RESTful 服务 (Richardson 和 Ru- 
by, 2007), RESTful 方法 支持 有 效 的 服务 交互 ， 但 是 不 支持 企业 级 的 特征 ， 比 如 ，WS-Reliability 
和 WS-Transactions, Pautasso 等 (2008) 比较 了 RESTful 方法 和 标准 的 Web 服务 。 








Q RESTful Web 服务 


REST (Representational State Transfer) 是 一 种 基于 服务 器 向 客户 机 转移 资源 描述 的 体系 结 
构 风 格 。 这 种 风格 以 Web 是 一 整体 为 基础 ， 并 被 作为 比 SOAP/WDSL 实现 Web 服务 更 简单 的 
方法 来 使 用 。 

RESTful Web 服务 是 通过 它 的 URL (Universal Resources identifier) 定义 所 识别 的 ， 并 使 用 
HTML 协议 通信 。 它 响应 HTML 的 GET、PUT、POST 和 DELETE 方法 并 向 客户 机 返回 资源 的 表 
示 。 简 单 地 讲 ，POST 表示 建立 ，GET 表示 读 取 ，PUT 表示 更 新 ，DELETE 表示 删除 。 

RESTful 服务 要 比 所谓 的 “big Web service” 有 更 低 的 开销 ， 并 且 被 许多 机 构 使 用 来 实现 
基于 服务 的 系统 ， 但 它们 的 系统 是 不 依赖 于 外 部 提供 的 服务 的 。 
http :// www. SoftwareEngineering-9. com/ Web/Sevices/REST/ 










基于 服务 构建 应 用 程序 允许 公司 和 其 他 机 构 进行 协作 并 使 用 彼此 的 业务 功能 。 因 此 ， 涉 及 
公司 边界 间 大 量 信息 交换 的 系统 ， 比 如 ， 供 应 链 系 统 ， 即 一 家 公司 向 另 一 家 公司 下 商品 订单 ， 可 
以 很 容易 地 自动 化 。 如 19. 3 节 所 讨论 的 ， 基 于 服务 的 应 用 的 构建 ， 可 以 通过 连接 来 自 不 同 提供 
商 的 服务 ， 使 用 标准 编程 语言 或 者 专门 的 工作 流 语言 。 

SOA 是 松散 耦合 的 体系 结构 ， 服 务 绑 定 在 执行 阶段 是 可 以 改变 的 。 这 意味 着 可 能 会 在 不 同 
的 时 间 执 行 着 服务 的 不 同 的 但 等 价 的 版 本 。 有 些 系统 完全 是 使 用 Web 服务 来 构建 的 ， 而 其 他 一 
些 系 统 是 结合 了 Web 服务 和 本 地 开发 的 组 件 。 为 了 说 明 混合 使 用 服务 和 组 件 的 应 用 是 如 何 组 织 
的 ， 考 虑 以 下 情形 : 

轿车 内 信息 系统 驾驶 人 员 提 供 关 于 天 气 、 交 通 状 况 、 本 地 信息 等 内 容 。 这 是 链接 到 车 上 无 线 
电 装 置 上 的 ， 这 样 信息 作为 局 号 可 以 在 专 设 的 频道 上 传输 。 轿 车 上 配备 GPS 接收 装置 来 发 现 自 
己 所 在 的 位 置 ， 基 于 这 个 位 置信 息 ， 系 统 方位 访问 一 系列 信息 服务 。 信 息 可 以 使 用 驾驶 员 专 用 语 
言 来 传输 。 

图 19-3 说 明了 这 样 一 个 系统 的 可 能 组 成 。 车 内 软件 包括 5 个 模块 。 它 们 处 理 与 驾驶 人 员 、 
与 报告 车 辆 位 置 的 GPS 接收 装置 ， 以 及 与 车 上 的 无 线 电 接收 装置 的 通信 。Transmiter (传递 器 ) 
和 Receiver (接收 器 ) 两 模块 处 理 所 有 与 外 部 设备 之 间 的 通信 。 

车 辆 与 外 部 移动 信息 服务 通信 ， 这 个 外 部 信息 服务 又 聚集 了 很 多 来 自 其 他 模块 的 一 些 服务 ， 
比如 气象 服务 、 交 通信 息 服 务 和 本 地 设施 服务 等 提供 的 信息 。 位 于 不 同 地 点 的 不 同 提供 商 提供 
这 个 服务 ， 车 内 系统 用 发 现 服务 来 定位 最 合适 的 信息 服务 并 绑 定 它 。 移 动 信息 服务 也 使 用 发 现 
服务 来 绑 定 合适 的 气象 、 交 通 以 及 设施 等 服务 。 服 务 交 换 SOAP 消息 ( 它 包括 服务 所 使 用 的 GPS 
位 置信 息 ) 来 选择 合适 的 信息 。 所 收集 的 信息 通过 一 个 能 将 信息 语言 翻译 成 驾驶 人 员 的 首选 语 
言 的 服务 传 回 到 车 内 。 
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这 个 例子 很 好 地 说 明了 面向 服务 方法 的 一 个 重要 优势 。 这 就 是 ， 在 系统 编程 阶段 和 部 署 阶 
段 无 需 决 定 使 用 哪个 服务 提供 商 ， 也 无 需 知 道 需要 访问 什么 特殊 的 服务 。 当 汽车 随处 行驶 的 时 
候 ， 车 载 软件 使 用 服务 发 现 服务 来 寻找 最 为 合适 的 信息 服务 并 绑 定 它 。 由 于 使 用 了 翻译 服务 ， 它 
能 够 跨越 边界 而 让 不 懂 当 地 语言 的 驾驶 人 员 了 解 到 当地 的 信息 。. 





车 载 软 件 系统 


Q 面向 服务 和 面向 组 件 的 软件 工程 


服务 和 组 件 显然 有 很 多 共同 之 处 。 它 们 都 是 可 复 用 的 元 素 ， 如 第 17 章 所 述 ， 可 以 把 组 件 
认为 是 服务 的 提供 者 。 不 过 ， 服 务 和 组 件 之 间 以 及 软件 工程 面向 服务 的 方法 和 面向 组 件 的 方 
法 之 间 有 很 重要 的 不 同 之 处 。 

http://www. SoftwareEngineering-9. com/ Web/Services/ Comps. html 






软件 工程 的 面向 服务 方法 是 一 种 新 的 软件 工程 范式 ， 在 作者 看 来 ， 是 与 面向 对 象 软件 工程 
同样 的 一 个 软件 工程 的 重要 进展 。 这 种 范式 的 转变 将 加 速 “ 云 计算 ” (Cam, 2009) 的 发 展 , 在 
云 计 算 中 服务 是 由 如 Google 和 Amazon 这 样 主要 供应 商 主办 的 一 个 公用 计算 基础 设施 所 提供 的 。 
这 已 经 并 将 继续 对 系统 产品 和 业务 流程 产生 深远 影响 。Newcomer 和 Lomow (2005 ) ， 在 他 们 关于 
SOA 的 书 上 总 结 了 面向 服务 的 方法 的 潜力 : 

“由 于 关键 技术 的 集成 和 Web 服务 普遍 采用 的 驱动 ， 面 向 服务 的 企业 承诺 极 大 地 提高 企业 的 
灵活 性 ， 加 快 新 产品 和 服务 推 向 市 场 的 步伐 ， 降 低 IT 的 成 本 并 改善 运作 的 效率 。” 

我 们 仍 处 在 通过 Web 访问 的 面向 服务 应 用 开发 的 初期 阶段 。 但 是 ， 随 着 Google Apps 和 Sale- 
force. com 等 系统 的 出 现 ， 我 们 已 经 看 到 在 软件 的 实施 和 部 署 方式 上 的 重大 变化 。 面 向 服务 的 方 
法 同时 在 应 用 和 实施 层面 上 意味 着 Web 正 从 一 个 信息 存储 变 成 一 个 系统 的 实施 平台 。 


19.1 服务 作为 可 复 用 的 组 件 
在 第 17 章 中 ,介绍 了 基于 组 件 的 软件 工程 (CBSE) ， 在 那里 软件 系统 是 通过 对 软件 组 件 的 
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组 合 来 构建 的 ， 组 件 都 是 基于 某 一 标准 组 件 模型 的 。 服 务 是 软件 组 件 的 自然 发 展 ， 组 件 模型 本 质 
上 是 一 组 与 Web 服务 关联 的 标准 。 服 务 因此 可 以 被 定义 为 : 

松散 辜 合 的 、 封 装 了 离散 功能 的 可 复 用 软件 组 件 ， 它 可 以 是 分 布 的 ， 且 根据 标题 来 访问 。 
Web 服务 是 这 样 一 个 服务 ， 使 用 标准 的 Internet 和 基于 XML 的 协议 进行 访问 。 

如 在 CBSE 中 所 定义 的 ， 服 务 和 软件 组 件 之 间 的 一 个 重要 的 区 别 是 ， 服 务 应 该 总 是 独立 的 和 
松散 耦合 的 。 即 它们 应 该 总 是 以 相同 的 方式 运行 ， 而 与 它们 的 执行 环境 无 关 。 其 接口 是 提供 服务 
功能 访问 的 “提供 ”接口 。 服 务 规 定 为 在 不 同 的 上 下 文中 独立 和 可 用 的 。 因 此 ， 它 们 没有 “要 
求 ”接口 ， 而 在 CBSE 中 这 是 定义 那些 必须 出 现 的 其 他 系统 组 件 的 一 种 接口 。 

服务 通过 交换 以 XML 表示 的 消息 来 通信 ， 这 些 消 息 通 常 使 用 标准 的 Internet 传输 协议 (如 
HTTP 和 TCP/IP) 来 分 发 。 第 18 章 中 已 经 提 到 这 种 基于 消息 方法 的 组 件 通信 。 服 务 定义 它 对 另 
一 个 服务 的 需要 ， 通 过 在 消息 中 陈述 需求 并 发 送 给 相应 的 服务 。 接 收 方 解 析 消 息 ， 执 行 计算 ， 完 
成 后 发 送 一 个 回复 ， 作 为 消息 ， 给 请 求 的 服务 。 提 出 请 求 的 服务 于 是 解析 应 答 消息 ， 提 取 所 需要 
的 信息 。 与 软件 组 件 不 同 ， 服 务 不 使 用 远程 过 程 或 方法 调用 来 访问 与 其 他 服务 关联 的 功能 。 

当 你 想 要 使 用 Web 服务 的 时 候 , 你 需要 知道 服务 在 哪里 〈 它 的 URI) 以 及 接口 细节 。 这 些 会 
在 服务 描述 中 说 明 ， 服 务 描述 用 XML 语言 书写 ， 被 称 为 WSDL (Web 服务 描述 语言 ) WSDL fü 
述 定义 了 有 关 Web 服务 的 3 件 事 : 服务 做 什么 ， 如 何 通信 ， 以 及 在 哪里 能 找到 它 ; 

1. WSDL 文档 的 “what” 部 分 ， 称 为 接口 ， 指 定 服务 所 支持 的 操作 ， 并 且 定 义 服务 发 送 和 
接收 的 消息 的 格式 。 

2. WSDL 文档 的 “how” 部 分 ， 称 为 一 个 绑 定 ， 把 抽象 接口 映射 到 一 组 具体 的 协议 上 。 绑 定 
指定 了 如 何 与 一 个 Web 服务 通信 的 技术 细节 。 

3. WSDL 文档 的 “where” 部 分 ， 描 述 一 个 特定 的 Web 服务 实现 的 位 置 〈 它 的 端点 ) 。 

WSDL 概念 模型 〈 见 图 19-4) ， 给 出 了 服务 描述 的 元 素 。 其 中 每 个 元 素 用 XML 表达 并 且 可 以 
在 单独 的 文件 中 完成 。 这 些 部 分 是 : 





WSDL 服 务 定义 
XML 名字 空间 声明 


类 型 声明 
接口 声明 
消息 声明 


绑 定 声明 
端点 声明 


Æ 19-4 WSDL 描述 的 组 织 


1. 介绍 性 部 分 ， 通常， 定义 XML 所 使 用 的 名 字 空 间 ， 并 且 可 能 包含 一 个 提供 有 关 服 务 的 额 
外 信息 的 文档 部 分 。 

2. 可 选 部 分 ， 描 述 服务 交换 的 消息 所 使 用 的 一 些 类 型 。 

3. 服务 接口 的 描述 部 分 ， 即 服务 为 其 他 的 服务 或 用 户 提供 的 操作 。 

4. 描述 服务 所 处 理 的 输入 和 输出 消息 部 分 。 

5. 服务 所 使 用 的 绑 定 的 描述 部 分 (例如 发 送 和 接收 消息 的 消息 传送 协议 。) 默认 是 SOAP, 
但 也 可 以 指定 其 他 绑 定 。 绑 定 说 明 如 何 将 与 服务 关联 的 输入 和 输出 消息 封装 在 消息 中 ， 并 且 指 
定 所 使 用 的 通信 协议 。 绑 定 也 可 以 指定 支持 信息 ， 诸 如 安全 证 书 或 事务 标识 符 将 包括 在 内 。 

6. 端点 描述 部 分 ， 这 是 服务 的 物理 位 置 ， 表 示 为 统一 资源 标识 符 (URI) Internet 上 能 
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访问 的 资源 的 地 址 。 

用 XML 书写 的 完整 服务 描述 ， 读 起 来 是 宛 长 、 琐 碎 且 枯燥 的 。 它 们 通常 包含 XML 名 字 空 间 
的 定义 ， 这 些 都 是 合适 的 名 称 。 名 字 空 间 标 识 符 可 以 位 于 任何 XML 标识 符 之 前 ， 使 得 具有 相同 
名 称 的 标识 符 可 以 定义 在 两 个 不 同 的 XML 描述 部 分 中 。 读 者 不 需要 了 解 名 字 空 间 的 细节 来 明白 
这 里 的 例子 。 读 者 只 需要 知道 ， 名 称 前 面 可 以 有 一 个 名 字 空 间 标识 符 作 为 前 级 ， namespace; 
name 成 对 出 现 且 是 唯一 的 。 

WSDL 描述 现在 很 少 手 工 书写 ， 描 述 中 的 大 多 数 信息 都 是 自动 生成 的 。 读 者 不 需要 知道 描述 
的 具体 细节 来 理解 WSDL 的 原理 ， 所 以 ， 将 集中 解释 抽象 接口 的 描述 。 这 是 WSDL 描述 部 分 ， 相 
当 于 软件 组 件 的 “提供 ”接口 。 图 19-5 给 出 一 个 简单 服务 的 部 分 接口 ， 给 定 一 个 日 期 和 一 个 地 
点 ， 指 定 一 个 国家 内 的 城市 ， 返 回 在 那个 地 点 和 时 间 所 记录 的 最 高 和 最 低 的 温度 。 输 入 的 消息 也 
指定 这 些 温 度 是 以 摄氏 温度 还 是 以 华氏 温度 返回 。 

Define some of the types used. Assume that the namespace prefix ‘ws’ refers 


to the namespace URI for XML schemas and the namespace prefix associated 
with this definition is weathns. 


«types»? 
<xs: schema targetNameSpace = "http://.../weathns" 
xmins: weathns = “http://.../weathns” > 
<xs:element name = "PlaceAndDate" type = "pdrec" /> 
<xs:element name = “MaxMinTemp” type = “mmtrec” /> 
<xs:element name = "InDataFault" type = "errmess" /> 


<xs:complexType name = “pdrec” 

K«xs:sequence» 
<xs:element name = "town" type = “xs:string”/> 
<xs:element name = “country” type = “xs:string”/> 
<xs:element name = “day” type = "xs:date" /> 

</xs:complexType> 


Definitions of MaxMinType and InDataFault here 
</schema> 
</types> 


Now define the interface and its operations. In this case, there is only a 
single operation to return maximum and minimum temperatures, 


<interface name = “weatherInfo” > 
«operation name ~ “getMaxMinTemps” pattern = “wsdlns: in-out"» 
<input messageLabel = “In” element = “weathns: PlaceAndDate” /> 
<output messagelabe! = “Out” element = “weathns:MaxMinTemp” /> 
<outfault messageLabel = "Qut" element = “weathns:InDataFault” /> 

</operation> 

</interface> 





19-5. 一 个 Web 服务 的 部 分 WSDL 描述 


在 图 19-6 中 ， 描 述 的 第 一 部 分 显示 了 在 服务 描述 中 所 使 用 的 元 素 和 类 型 定义 部 分 ， 定义 了 元 
素 PlaceAndDate, MaxMinTemp 和 InDataFault。 这 里 只 给 出 PlaceAndDate 的 描述 ， 可 以 看 出 它 是 包含 
3 个 域 〈 城 镇 、 国 家 和 日 期 ) 的 一 个 记录 。 用 类 似 的 方式 可 以 定义 MaxMinTemp 和 InDataFault 

描述 的 第 二 部 分 给 出 如 何 定义 服务 接口 。 在 此 例子 中 ， 服 务 weatherInfo 有 唯一 操作 ， 尽 管 没 有 
可 定义 的 操作 个 数 的 限制 。weatherinfo 操作 有 一 个 相关 的 输入 — 输出 模式 ， 获取 一 个 输入 消息 ， 产 
生 一 个 输出 消息 。WSDL2.0 描述 允许 多 个 不 同 的 消息 交换 模式 ， 例 如 in-only, in-out, out-only, in- 
optional-out, out-in 等 。 输 入 和 输出 消息 ， 即 那些 在 类 型 域 部 分 中 较 早 给 出 的 声明 ， 此 时 完成 定义 。 
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WSDL 的 主要 问题 是 服务 接口 定义 不 包含 任何 服务 语义 或 它 的 非 功能 特性 的 信息 ， 例 如 性 能 
和 可 依赖 性 。 它 仅仅 是 一 个 服务 签名 的 描述 〈 例 如 操作 和 其 参数 ) 。 准 备 使 用 该 服务 的 程序 员 不 
得 不 搞 清楚 服务 到 底 能 做 什么 ， 以 及 它 的 输入 和 输出 消息 的 不 同 域 的 意思 。 性 能 和 可 依赖 性 必 
须 由 服务 的 实验 来 验证 。 直 观 的 名 称 和 服务 文档 会 帮助 读者 理解 服务 提供 的 功能 ， 但 读者 仍 有 
可 能 对 服务 产生 很 多 误解 。 


19.2 服务 工程 


服务 工程 是 开发 服务 的 过 程 ， 这 种 服务 是 面向 服务 的 应 用 开发 中 可 复 用 的 。 它 和 组 件 工程 
非常 类 似 。 服 务工 程 师 必须 确保 服务 代表 可 复 用 的 抽象 ， 能 用 于 不 同系 统 的 抽象 。 他 们 要 设计 开 
发 与 此 抽象 关联 的 有 用 的 一 些 功能 ， 而 且 确 保 服务 是 健壮 的 和 可 靠 的 。 他 们 必须 为 服务 提供 文 
档 ， 以 便服 务 能 被 需要 的 用 户 所 发 现 和 了 解 。 

在 服务 工程 过 程 中 有 如 下 3 个 逻辑 阶段 ， 如 图 19-6 所 示 。 

1. 可 选 服务 识别 ， 在 此 我 们 识别 那些 需要 实现 的 服务 ， 并 定义 服务 需求 。 

2. 服务 设计 ， 在 此 我 们 设计 人 逻辑 和 WSDL 的 服务 接口 。 

3. 服务 实现 和 部 署 ， 在 此 我 们 实现 并 测试 服务 ， 使 之 可 用 。 


可 选 服务 识别 ) 








服务 接口 描述 | | ferme 
. 图 19-6 服务 工程 过 程 


如 第 16 章 中 提 到 的 ， 可 复 用 组 件 的 开发 可 能 是 在 已 经 实现 了 的 并 在 应 用 程序 中 使 用 的 现 有 
组 件 的 基础 上 开始 的 。 服 务 同样 如 此 ， 此 过 程 的 起 点 往往 是 一 个 现 有 的 服务 或 者 要 转化 为 服务 
的 组 件 。 在 这 种 情况 下 ， 设 计 过 程 涉及 归纳 现 有 组 件 ， 删 除 应 用 程序 特定 的 功能 。 实 现 意味 着 道 
过 添加 服务 接口 改写 原来 的 组 件 并 实现 所 需要 的 泛 化 。 


19.2.1 可 选 服务 的 识别 


面向 服务 计算 的 基本 理念 是 服务 应 该 支持 业务 过 程 。 由 于 每 个 机 构 都 有 很 多 的 过 程 ， 因 此 
存在 许多 可 能 的 服务 可 以 加 以 实现 。 可 选 服务 识别 需要 理解 和 分 析 机 构 的 业务 过 程 ， 来 决定 哪 
些 可 复 用 服务 可 能 需要 实现 以 支持 这 些 过 程 。 

El 建议 可 以 定义 三 种 基本 服务 类 型 : 

l. 实用 服务 ”这 些 服务 实现 某 些 一 般 性 的 功能 ， 可 被 用 于 不 同 的 业务 过 程 。 一 个 实用 服务 
的 例子 是 货币 转换 服务 ， 通 过 访问 它 可 以 计算 一 种 货币 (例如 美元 ) 对 另外 一 种 货币 (例如 欧 
T) 的 兑换 。 

2. 业务 服务 这 些 服务 是 与 特殊 业务 功能 相关 的 服务 。 大 学 里 的 业务 功能 的 例子 是 学 生 为 
一 门 课程 注册 登记 。 

3. 协同 或 过 程 服 务 这 些 服务 是 为 支持 更 一 般 的 业务 过 程 ， 这 些 业务 过 程 总 是 包含 不 同 的 角色 和 
活动 。 公 司 里 的 协同 服务 的 例子 是 订货 服务 ， 允 许 完成 一 个 包含 厂商 、 产 品 以 及 付款 方式 的 订单 。 . 
Ed 也 建议 将 服务 看 做 是 面向 任务 的 或 面向 实体 的 。 面 向 任务 的 服务 是 与 某 项 活动 关联 的 ， 
而 面向 实体 的 服务 就 像 对 象 ， 即 与 某 个 业务 实体 关联 ， 这 样 的 业务 实体 的 例子 是 ， 一 张 求职 申请 
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表 。 图 19-7 给 出 了 一 些 面 向 任务 的 和 面向 实体 的 服务 的 例子 。 实 用 或 业务 服务 可 能 是 面向 实体 
的 或 是 面向 任务 的 ， 但 协同 服务 总 是 面向 任务 的 。 

在 可 选 服务 识别 阶段 的 目标 应 该 是 找 出 那些 逻辑 上 相关 的 、 独 立 的 且 可 复 用 的 服务 。Eal 的 
分 类 在 这 方面 是 有 帮助 的 。 它 给 出 了 如 何 通过 对 业务 实体 和 业务 活动 的 观察 来 发 现 可 复 用 的 服 
务 。 然 而 ， 识 别 可 选 服务 有 时 是 很 困难 的 ， 因 为 你 不 得 不 想象 这 项 服务 将 是 如 何 使 用 的 。 你 必须 
考虑 所 有 可 能 的 候选 项 ， 然 后 通过 一 系列 关于 它们 的 问题 来 分 析 是 否 像 是 有 用 的 服务 。 能 帮助 
你 发 现 可 复 用 的 服务 的 问题 有 : 

1， 对 一 个 面向 实体 的 服务 ， 它 是 与 一 单个 用 于 不 同业 务 过 程 的 逻辑 实体 关联 的 吗 ? 通常 情 
况 下 在 必须 支持 的 实体 上 都 执行 哪些 操作 ? 

2. 对 于 一 个 面向 任务 的 服务 , 该 任务 是 在 机 构 中 由 不 同 的 人 执行 的 吗 ” 当 提供 一 单个 支持 
服务 时 要 发 生 不 可 避免 的 标准 化 问题 ， 他 们 愿意 接受 吗 ? 

3. 服务 是 独立 的 吗 ? 也 就 是 说 ， 它 在 多 大 程度 上 依赖 其 他 服务 的 可 用 性 的 ? 

4 对 于 它 的 操作 ， 服 务必 须 维护 状态 吗 ? 服务 是 无 状态 的 ， 这 意味 着 服务 不 用 维护 中 间 状 
态 。 如 果 需 要 状态 信息 ， 将 不 得 不 使 用 数据 库 ， 而 这 将 限制 服务 的 复 用 性 。 总 的 来 说 ， 服 务 传递 
状态 到 服务 是 易于 复 用 的 ， 因 为 不 需要 绑 定 数据 库 。 

5. 服务 能 被 机 构 外 面 的 客户 使 用 吗 ? 举例 来 说 ， 一 个 与 目录 关联 的 面向 实体 的 服务 可 以 既 
在 内 部 访问 又 可 以 由 外 部 访问 吗 ? 

6. 服务 的 不 同 用 户 可 能 有 不 同 的 非 功 能 性 需求 吗 ? 如 果 有 ， 那 么 就 应 该 实现 不 止 一 个 版 本 


的 服务 。 
| 业务 | 协同 | 
验证 申报 表格 过 程 费 用 申报 
检查 信用 等 级 支付 外 部 供应 商 
费用 表格 
学 生 申 请 表 
图 19-7 服务 分 类 


这 些 问 题 的 答案 有 助 于 我 们 去 选择 和 精练 那些 将 被 实现 为 服务 的 抽象 。 然 而 ， 决 定 万 个 是 
最 好 的 服务 并 没有 公式 化 的 方法 ， 因 此 服务 识别 是 一 个 基于 技术 和 经 验 的 过 程 。 

可 用 服务 选择 过 程 的 输出 是 一 组 找到 的 服务 以 及 相关 的 需求 。 功 能 性 服务 需求 需要 定义 服 
务 应 该 做 什么 。 非 功能 性 需求 需要 定义 服务 的 信息 安全 性 、 性 能 和 可 用 性 需求 。 

为 了 帮助 读者 理解 可 选 服 务 的 识别 和 实现 ， 考 虑 下 面 的 例子 ; m 

一 家 卖 计算 机 设备 的 大 公司 ， 已 经 为 一 些 客户 的 核准 配置 安排 了 特殊 价格 。 为 了 方便 自动 
订购 ， 公 司 希 望 制 作 一 个 目录 服务 ， 允 许 客户 选择 他 们 需要 的 设备 。 与 消费 者 目录 不 同 ， 订 单 不 
是 直接 地 通过 目录 接口 下 达 。 相 反 ， 商 品 是 通过 每 家 公司 的 基于 Web 的 采购 系统 下 订单 的 ， 每 
家 公司 以 Web 服务 来 访问 目录 。 绝 大 多 数 公司 有 它们 自 己 的 预算 流程 和 订单 批复 流程 ， 在 下 订 
单 时 必须 遵循 他 们 自己 的 流程 。 

目录 服务 是 支持 业务 操作 的 面向 实体 服务 的 一 个 例子 。 目 录 服 务 的 功能 性 需求 如 下 ， 

L 目录 的 特定 版 本 将 提供 给 每 家 用 户 公司 。 它 包括 由 客户 公司 的 员工 所 订购 的 配置 和 设备 
以 及 目录 项 的 议定 价格 。 

2. 目录 应 该 允许 客户 公司 职员 下 载 目录 版 本 以 便 脱 机 浏览 。 

3. 目录 应 该 允许 用 户 比 较 多 达 6 个 目录 项 的 描述 和 价格 。 

4. 目录 应 该 为 用 户 提供 浏览 和 搜索 工具 。 














文档 风格 检查 器 
Web 表格 到 XML 转换 器 
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5. 目录 的 用 户 应 该 能 够 根据 某 一 特定 目录 项 的 代码 发 现 可 预期 的 交付 日 期 。 

6. 目录 的 用 户 应 该 能 够 下 “ 虚 订 单 ”， 即 所 需 的 项 可 以 为 他 们 保留 48 小 时 。 虚 订单 必须 通 
过 采购 系统 下 达 的 一 个 真实 订单 所 确定 。 确 认 消 息 必须 在 虚 订 单 的 48 小 时 内 收 到 。 

除了 这 些 功 能 性 需求 之 外 ， 目 录 还 有 许多 的 非 功能 性 需求 ; 

1. 访问 目录 服务 的 权限 将 限制 为 认可 的 机 构 职员 。 

2， 提 供给 一 客户 的 价格 和 配置 信息 将 是 保密 的 ， 对 任何 其 他 客户 来 说 将 是 不 可 见 的 。 

3. 目录 在 从 格林 尼 治标 准时 间 0700 到 格林 尼 治 标准 时 间 1100 都 将 可 用 且 不 间断 。 

4. 目录 服务 应 该 在 峰值 负载 能 够 每 秒 处 理 高 达 10 个 请 求 。 

注意 这 里 没有 有 关 目 录 服 务 响应 时 间 的 非 功能 性 需求 。 这 依赖 于 目录 的 大 小 和 预计 的 并 发 
用 户 的 多 少 。 因 为 这 不 是 一 个 时 间 要 求 极 高 的 服务 ， 所 以 不 需要 在 这 个 阶段 指定 它 。 


19.2.2 服务 接口 设计 


一 旦 选择 了 可 选 服务 ， 服 务工 程 过 程 的 下 一 个 阶段 就 是 设计 服务 接口 。 这 包括 定义 与 服务 
关联 的 操作 以 及 它们 的 参数 。 也 需要 仔细 地 考虑 服务 操作 和 消息 的 设计 ， 目 的 是 使 得 完成 服务 
请 求 一 定 要 发 生 的 消息 交换 的 次 数 最 小 。 必 须 确 保 在 一 个 消息 中 尽 可 能 多 地 携带 所 要 传递 给 服 
务 的 信息 ， 而 不 采用 同步 的 服务 交互 。 

应 该 记 住 服务 是 无 状态 的 ， 管 理 特定 服务 应 用 状态 是 服务 用 户 的 职责 ， 而 非 服务 本 身 的 责 
任 。 因 此 我 们 可 能 需要 在 服务 之 间 通 过 输入 和 输出 消息 传递 状态 信息 。 

服务 接口 设计 有 3 个 阶段 : 

1. 逻辑 接口 设计 ， 找 出 与 服务 关联 的 操作 、 这 些 操作 的 输入 和 和 输出， 以 及 与 这 些 操作 关联 
的 异常 。 

2. 消息 设计 ,设计 由 服务 发 送 和 接收 的 消息 结构 。 

3. WSDL FÈ, M WSDL 语言 将 逻辑 设计 和 消息 设计 翻译 成 抽象 接口 描述 。 

第 一 阶段 ， 逻 辑 接口 设计 ， 从 服务 需求 开始 ， 定 义 操作 和 名称 和 参数 。 在 这 个 阶段 ， 也 要 定义 
当 一 个 服务 操作 被 调用 时 可 能 出 现 的 异常 。 图 19-8 和 图 19-9 给 出 了 实现 需求 的 操作 ， 每 个 目录 
操作 的 输入 、 输 出 和 异常 。 在 这 个 阶段 ， 不 需要 详细 描述 它们 ， 因 为 将 在 设计 过 程 的 下 一 个 阶段 
添加 细节 内 容 。 


MakeCatalogue 


CheckDelivery 
MakeVirtualOrder 













为 特殊 客户 创建 一 个 目录 的 特殊 版 本 。 包 括 一 个 可 选 参数 来 创建 目录 的 一 个 可 下 载 
的 PDF 版 本 


最 多 可 提供 4 个 目录 项 的 6 个 特性 以 进行 比较 〈 例 如 ， 价 格 、 尺 寸 、 处 理 器 速度 等 ) 
显示 关联 于 特殊 目录 项 的 所 有 数据 
此 操作 接受 逻辑 表达 式 ， 根 据 此 表达 式 搜索 目录 。 显 示 能 匹配 表达 式 的 所 有 项 的 一 


个 列表 
如 果 在 某 天 预订 的 话 , 返回 此 项 的 预计 的 交付 日 期 
保存 将 由 客户 订购 的 项 的 数目 ， 并 为 客户 自己 的 采购 系统 提供 各 项 的 信息 


图 19-8 目录 服务 操作 的 功能 性 描述 


定义 异常 和 异常 如 何 传达 给 服务 用 户 是 特别 重要 的 。 服 务工 程 师 不 知道 他 们 的 服务 将 会 被 
如 何 使 用 ， 且 假定 服务 用 户 将 会 完全 理解 服务 描述 通常 是 不 明智 的 。 输 入 消息 可 能 是 不 正确 的 ， 
所 以 应 该 定义 异常 向 服务 客户 报告 不 正确 的 输入 。 在 可 复 用 的 组 件 开发 中 将 所 有 异常 处 理 交 给 
组 件 的 用 户 通 常 是 个 好 的 做 法 。 服 务 开发 者 不 应 该 在 如 何 处 理 异常 上 强加 自己 的 观点 。 
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size (cID)= 6 IN 
------- size (catNum) = 10 
numltems > 0 










cID:string 
catNum:string 
numltems: integer 
catNum:string 
delivDate:date 


size (catNum) = 10 S 


delivDate>Today 


Invalid company id 
errCode = | 

Invalid catalog number 
errCode = 2 


No availability 
errCode = 3 

Zero items requested 
errCode = 4 





19-9 目录 接口 设计 


一 旦 建立 了 有 关 服 务 应 该 做 什么 的 非 正式 逻辑 描述 ， 下 一 个 阶段 就 是 定义 输入 和 输出 消息 
的 结构 以 及 在 这 些 消息 中 所 使 用 的 类 型 。XML 不 适合 在 这 个 阶段 中 使 用 。 作 者 认为 将 消息 表示 
为 对 象 用 UML 或 者 编程 语言 (例如 ，Java) 来 表示 更 好 。 它 们 能 人 工地 或 自动 地 转换 为 XML, 
19-10 显示 了 目录 服务 中 的 getDelivery 操作 的 输入 和 输出 消息 的 结构 。 


mcin 
公司 id 
PDF - 标志 











异 





常 
































mcFault 
无 效 的 公司 id 





mcOut 


MakeCatalogue 该 公司 目录 的 URL 




















compFault 
无 效 的 公司 id 
无 效 的 目录 数 
未 知 的 属性 


lookFault 
无 效 公司 id 
无 效 目录 数目 


compIn 
公司 id 

入 口 属性 (最 多 6 个 ) 
目录 数目 (最 多 4 个 ) 


lookIn 
公司 id 


目录 数目 







compOut 
显示 比较 表 页 面 的 URL 




















lookOut 
有 项 信息 页 面 的 URL 



































searchIn searchOut searchFault 
公司 id 无 效 公司 id 
搜索 字符 中 有 搜索 结果 页 面 的 URL | 格式 不 好 的 搜索 字符 申 



























gdFault 
















l p i gdOut 无 效 公司 id 
Deme 目录 数目 Pre M ord 
请 求 的 项 数 


零 请 求 项 
























poln poFault 
c er 48] id 无 效 公司 id 
s 请 求 的 项 数 无 将 目录 数目 
目录 数目 零 请 求 项 








图 19-10 输入 、 输 出 消息 的 UML 定义 
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注意 这 里 是 如 何 把 细节 加 入 到 描述 中 的 一 一 通过 用 约束 注解 UML 图 表 。 它 们 定义 了 表示 公 
司 和 目录 项 的 字符 串 的 长 度 ， 指 定 项 目 数 必须 大 于 0， 交 付 必 须 在 当前 日 期 之 后 。 注 解 也 显示 了 
与 每 个 可 能 的 故障 关联 的 错误 代码 。 

服务 设计 过 程 的 最 后 阶段 是 将 服务 接口 设计 翻译 成 WSDL。 如 前 面 所 讨论 的 ,WSDL 表示 很 
长 且 很 详细 ， 因 此 ， 如 果 在 这 个 阶段 你 手工 完成 这 些 就 很 容易 出 错 。 不 过 ， 大 部 分 的 支持 面向 服 
务 开 发 的 编程 环境 〈 比 如 ECLIPSE 环境 ) 包含 能 将 逻辑 接口 描述 翻译 成 它 对 应 的 WSDL 表示 的 
工具 。 


- 19.2.3 服务 实现 和 部 署 


一 旦 找到 了 可 选 服务 并 且 设 计 了 它们 的 接口 ， 服 务工 程 过 程 的 最 后 阶段 就 是 服务 实现 。 实 
现 可 能 涉及 使 用 某 个 标准 的 编程 语言 (例如 Java 或 CH) 编写 服务 程序 。 这 两 种 语言 现在 都 包括 
对 服务 开发 广泛 支持 的 库 。 

另外 一 种 做 法 是 ， 服 务 的 开发 可 以 通过 向 现 有 组 件 或 遗留 系统 (如 稍 后 将 要 讨论 的 ) 添加 
服务 接口 的 办 法 实现 。 这 意味 着 已 经 证 明了 是 有 用 的 软件 资产 能 被 更 加 广泛 地 利用 。 对 于 遗留 
系统 的 情形 ， 它 可 能 意味 着 系统 功能 能 被 新 的 应 用 访问 。 也 可 以 通过 定义 现 有 服务 的 组 合 来 开 
发 新 的 服务 。19. 3 节 讨 论 这 种 开发 服务 的 方法 。 

服务 一 经 实现 ， 在 部 署 它 之 前 必须 通过 测试 。 这 包括 检查 和 划分 服务 输入 (如 第 18 章 所 讨 
论 的 ) 创建 反 映 这 些 输入 组 合 的 输入 消息 ， 然 后 检查 输出 是 否 是 预期 的 。 在 测试 中 应 该 总 是 去 
尝试 产生 异常 来 检查 服务 能 够 应 付 无 效 输入 。 测 试 工具 都 能 允许 对 服务 的 检查 和 测试 ， 并 能 从 
WSDL 描述 生成 测试 。 然 而 ， 这 些 只 能 测试 服务 接口 与 WSDL 的 一 致 性 。 它 们 不 能 测试 服务 的 功 
能 行为 。 

服务 部 署 是 过 程 的 最 后 阶段 ， 包 括 在 Web 服务 器 上 部 署 此 服务 。 绝 大 多 数 服 务 器 软件 使 这 
步 变 得 非常 简单 。 你 只 和 需 在 特定 目录 下 安装 包含 可 执行 的 服务 的 文件 。 然 后 它 会 自动 变 得 可 用 。 
如 果 希 望 服务 是 公用 的 ， 必 须 为 服务 的 外 部 用 户 提 供 信息 。 这 些 信息 帮助 潜在 的 外 部 用 户 明确 
该 服务 能 否 满足 他 们 的 需求 以 及 是 否 值得 信任 ， 而 对 于 服务 提供 商 ， 能 够 帮助 他 们 安全 可 靠 地 
提供 服务 。 服 务 描述 中 可 能 包含 的 信息 如 下 : 

l. 有 关 你 的 企业 的 信息 、 联 系 方式 等 。 这 对 用 户 信 任 来 说 是 至 关 重要 的 。 服 务 的 用 户 必须 
确信 服务 将 不 会 表现 出 恶意 的 行为 。 有 关 服 务 提供 者 的 信息 能 让 用 户 在 商业 信息 机 构 中 去 检查 
他 们 的 资格 证 书 。 

2. 服务 提供 的 功能 的 非 正 式 描述 。 它 帮助 潜在 用 户 决定 服务 是 否 是 他 们 想 要 的 。 然 而 ， 功 
能 描述 使 用 的 是 自然 语言 ， 因 此 对 服务 做 什么 的 描述 ， 它 不 是 无 二 义 的 语义 描述 。 

3. 接口 类 型 和 语义 的 详细 描述 。 

4. 订阅 信息 ， 人 允许 用 户 注册 以 获取 有 关 服 务 更 新 的 信息 。 

如 前 面 所 述 ， 服 务 描述 的 一 个 一 般 问题 是 ， 服 务 的 功能 行为 是 通过 自然 语言 描述 非 正式 给 
出 的 。 自 然 语 言 描述 便于 阅读 ,但 是 容易 引起 误解 。 为 了 解决 这 个 问题 ， 有 一 支 活跃 的 研究 团体 
正在 研究 服务 语义 如 何 来 定义 。 语 义 描述 最 有 前 途 的 方法 是 基于 本 体 论 的 描述 ， 既 描述 中 的 术 
语 的 特定 含义 是 在 本 体 中 定义 的 。 本 体 是 一 个 标准 化 术语 使 用 方法 的 方法 ， 并 旦 定义 不 同 术语 
之 间 的 关系 。 他 们 正在 越 来 越 多 地 用 于 帮助 指定 自然 语言 的 语义 。 人 们 开发 了 一 种 被 称 为 OWL.S 
的 语言 用 于 描述 Web 服务 本 体 (OWL_Services_Coalition, 2003), 


19.2.4 遗留 系统 服务 
遗留 系统 是 指 一 个 机 构 使 用 的 旧 的 软件 系统 。 遗 留 系统 通常 依赖 过 时 的 技术 但 是 对 于 业务 
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仍然 至 关 重 要 。 重 写 或 替换 这 些 系统 可 能 不 符合 成 本 效益 ， 许 多 机 构想 用 更 现代 的 系统 与 遗留 
系统 结合 在 一 起 。 服 务 最 重要 的 一 种 使 用 就 是 为 遗留 系统 实现 “包装 "， 遗 留 系统 提供 对 系统 功 
能 和 数据 的 访问 。 这 些 系统 于 是 能 通过 Web 访问 ， 并 与 其 他 应 用 集成 。 

举例 说 明 这 一 点 ， 设 想 一 家 大 公司 维护 着 其 设备 库存 和 相关 设备 保养 的 一 个 数据 库 ， 这 个 
数据 库 跟 踪 设 备 的 维护 和 修理 。 它 跟踪 在 不 同 设备 上 的 诸多 信息 ， 包 括 : 产生 了 的 维护 请 求 ， 安 
排 的 哪些 常规 维护 ， 维 护 是 在 什么 时 间 完 成 的 ， 执 行 维护 花费 了 多 少时 间 ， 等 等 。 此 遗留 系统 最 
初 是 用 来 为 维护 人 员 产 生日 常 的 维护 清单 的 ， 但 是 随 着 时 间 的 推移 ， 新 的 功能 不 断 被 添加 进来 。 
它们 提供 有 关 维 护 每 件 设备 的 花费 的 数据 和 帮助 外 部 承包 商 对 执行 的 维护 工作 进行 估价 的 信息 。 
系统 作为 客户 机 - 服务 器 系统 运行 ， 专 用 客户 端 软件 装 在 PC 上 运行 。 

公司 现在 希望 能 让 维护 人 员 从 便携 终端 实时 访问 此 系统 。 维 护 人 员 直 接 用 维护 所 花费 的 时 
间 和 资源 去 更 新 系统 ， 并 通过 查询 系统 来 发 现 他 们 的 下 一 步 维护 工作 。 除 此 之 外 ， 呼 叫 中 心 人 员 
要 求 访问 系统 以 记录 维护 请 求 和 检查 他 们 的 状态 。 

增强 系统 以 支持 这 些 需 求 事实 上 是 不 可 能 的 ， 所 以 公司 决定 为 维护 人 员 和 呼叫 中 心 人 员 提 
供 新 的 应 用 。 这 些 应 用 依赖 遗留 系统 ， 遗 留 系统 将 被 用 作 实现 多 个 服务 的 基础 。 在 图 19-11 中 说 
明 ， 这 里 用 了 UML 模式 来 说 明 一 个 服务 。 新 应 用 仅 与 这 些 服务 交换 消息 来 访问 遗留 系统 的 功能 。 


<< 服 务 >> << 服务 >> 
维护 日 志 
[| | [| | 


getJob addRequest 
suspendJob deleteRequest 
completeJob query Requests 










<< 服务 >> 
工具 

| AES 

addEquipment 

deleteEquipment 

editEquipment 





















Bd 19-11 对 遗留 系统 提供 访问 的 服务 


所 提供 的 一 些 服务 如 下 : 

L 维护 服务 ”包括 的 操作 有 : 根据 施工 号 码 、 优 先 级 和 地 理 位 置 来 检索 一 项 维护 工作 ; 上 
传 已 经 执行 的 维护 到 数据 库 。 它 也 支持 将 已 经 启动 但 是 未 完成 的 维护 工作 暂停 和 重新 开始 的 
操作 。 

2 工具 服务 这 包括 添加 和 删除 新 设备 的 操作 ， 修 改 数据 库 中 与 设备 关联 的 信息 的 操作 。 

3. ASRS 包括 为 服务 添加 一 个 新 请 求 、 删 除 维护 请 求 和 查询 未 完成 请 求 的 状态 。 

注意 现 有 的 遗留 系统 不 是 简单 地 被 表示 为 一 单个 服务 。 更 确切 地 说 ， 为 访问 遗留 系统 所 开 
发 的 服务 是 关联 的 ， 每 一 个 支持 单一 方面 的 功能 。 这 不 但 降低 了 它们 的 复杂 性 而 且 使 它们 在 其 
他 应 用 中 更 容易 理解 和 复 用 。 . 


19.3 使 用 服务 的 软件 开发 


使 用 服务 的 软件 开发 大 概 是 基于 这 样 的 思想 : 组 合并 配置 服务 来 创建 新 的 复合 服务 。 这 些 
复合 服务 可 以 与 一 个 在 浏览 器 上 实现 的 用 户 界面 集成 来 创建 一 个 Web 应 用 ,或 者 可 以 被 当做 组 
件 用 于 某 个 其 他 服务 组 合 。 组 合 中 所 包含 的 服务 可 能 是 专门 为 一 特殊 应 用 开发 的 ， 可 能 是 公司 
内 部 开发 的 业务 服务 ， 或 者 可 能 是 来 自 某 个 外 部 提供 者 的 服务 。 
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第 三 部 分 “高 级 软件 工程 


许多 公司 目前 正 把 他 们 的 企业 应 用 程序 转换 为 面向 服务 的 系统 ， 面 向 服务 的 系统 的 基本 应 
用 程序 是 服务 而 不 是 组 件 。 这 开启 了 在 公司 内 部 更 加 广泛 复 用 的 可 能 性 。 下 一 个 阶段 将 会 是 开 
发 机 构 间 的 相互 信任 的 供应 商 之 间 的 应 用 ， 它 们 彼此 使 用 对 方 的 服务 。 面 向 服务 体系 结构 的 远 
景 目标 的 最 终 实现 将 依赖 于 “服务 市 场 ”的 开发 ，SOA 的 长 远 梦 想 将 依赖 于 “服务 市 场 ”的 发 
展 ， 即 服务 是 从 外 部 的 提供 商 购 买 的 。 

服务 组 合 是 一 个 集成 过 程 ， 可 以 用 来 集成 分 离 的 业务 过 程 从 而 能 提供 更 加 广泛 的 功能 。 比 
方 说 一 家 航空 公司 希望 为 旅客 提供 一 个 完整 的 假期 计划 。 除 了 预订 他 们 的 班机 外 ,旅客 也 能 预 
订 在 他 们 所 希望 的 地 点 的 旅馆 ， 安 排 租 车 或 预订 出 租车 到 机 场 接 机 , 浏览 旅行 指南 以 及 预约 当地 
名 胜 的 游览 。 为 了 创建 此 应 用 ， 航空 公司 将 它 的 订 票 服务 、 旅 馆 预 订 代理 所 提供 的 服务 、 汽 车 租 
赁 和 出 租车 公司 的 服务 ， 以 及 当地 名 胜 旅 游 提 供 者 所 提供 的 预约 服务 组 合 在 一 起 。 最 终结 果 是 
一 个 服务 ， 它 集成 了 这 些 来 自 于 不 同 提供 者 的 服务 。 

你 可 以 思考 是 否 此 过 程 是 如 图 19-12 所 示 的 一 些 分 离 步骤 的 序列 。 信 息 从 一 步 传递 到 下 一 
步 , 例 如， 汽车 租赁 公司 被 告知 班机 预定 到 达 的 时 间 。 步 屋 序 列 被 称 为 一 个 工作 流 一 一 一 组 在 时 
徊 上 有 序 的 活动 ， 每 个 活动 执行 工作 的 某 个 部 分 。 工 作 流 是 业务 过 程 的 一 个 模型 (例如 ， 列 出 
在 达到 一 个 对 于 业务 特别 重要 的 特别 目标 过 程 中 所 涉及 的 所 有 步骤 ) 。 在 此 情景 中 ， 业 务 过 程 是 
航空 公司 提供 的 假期 预订 服务 。 





到 达 / 离 开 Ll 
日 期 /时 间 旅馆 位 置 


图 19-12 一 挠 子 假期 工作 流 


工作 流 是 一 个 简单 的 思想 ， 上 述 的 假期 预订 的 假定 情节 看 起 来 是 很 简单 的 。 FXE, RZA 
合 要 比 这 个 简单 模型 所 暗含 的 要 复杂 得 多 。 举 例 来 说 ， 你 必须 考虑 服务 失效 的 可 能 性 ， 并 加 入 一 
些 机 制 来 处 理 这 些 失败 。 你 也 需要 考虑 应 用 用 户 会 提出 的 非 预期 的 要 求 。 举 例 来 说 ， 假 定 一 位 旅 
客 是 残疾 人 ， 需 要 租用 一 个 轮椅 到 飞机 场 。 这 将 需要 实现 并 组 合 额外 的 服务 ， 还 需要 向 工作 流 中 
添加 额外 的 步骤 。 

我 们 必须 能 够 应 付 这 样 的 局 面 : 工作 流 不 得 不 改变 ， 因 为 某 一 个 服务 的 正常 执行 总 是 导 
致 与 其 他 服务 执行 的 不 兼容 。 举 例 来 说 ,假定 所 预订 的 一 架 班 机 将 在 6 月 1 日 离开 在 6 月 7 日 
返回 。 于 是 工作 流 进入 旅馆 预订 阶段 。 然 而 ， 旅 游 胜地 直到 6 月 2 日 一 直 都 在 召开 一 个 重要 
会 议 ， 因 此 旅馆 没有 可 用 的 房间 。 旅 馆 预 订 服 务 报告 此 不 可 用 人 性 。 这 不 是 一 个 失败 ， 缺 乏 可 
用 人 性 是 一 种 常见 的 情形 。 于 是 我 们 不 得 不 “撤销 ”班机 预订 并 将 有 关 缺 乏 可 用 性 的 信息 返回 
给 用 户 。 然 后 他 或 她 就 会 决定 是 否 改变 他 们 的 日 程 或 他 们 的 度假 地 。 在 工作 流 术 语 中 ， 这 叫 
做 “补偿 动作 ”。 补 偿 动作 用 来 撤销 一 些 动作 ， 这 些 动作 是 已 经 完成 的 但 是 因为 后 续 工 作 流 活 
动 的 结果 必须 改变 。 

通过 复 用 现 有 的 服务 的 新 服务 设计 过 程 ， 本 质 上 是 使 用 复 用 的 软件 设计 过 程 ( 见 图 19-13) 。 
使 用 复 用 的 设计 不 可 避免 要 在 需求 上 做 出 妥协 。 系 统 “ 理 想 化 ”的 需求 就 不 得 不 修改 以 迎合 实 
际 上 可 用 的 服务 ， 利 用 这 些 可 用 服务 ， 成 本 就 能 在 预算 之 内 ， 且 服务 的 品质 是 可 以 接受 的 。 

图 19-13 中 ， 在 通过 组 合 构建 服务 的 过 程 中 已 经 给 出 了 6 个 关键 阶段 : 

L 表达 概 赂 工作 流 ”在 此 服务 设计 的 起 始 阶段 ， 使 用 复合 服务 的 需求 作为 创建 “理想 ” 服 
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务 设计 的 基础 。 应 该 在 此 阶段 创建 一 个 相当 抽象 的 设计 ， 以 便当 我 们 对 可 用 服务 了 解 得 更 多 的 
时 候 能 够 添加 细节 。 






图 19-3 通过 组 合 的 服务 构造 


2. 发 现 服务 ”在 过 程 此 阶段 ， 搜 索 服 务 注册 处 或 目录 来 发 现存 在 什么 服务 、 谁 提供 这 些 服 
务 以 及 服务 提供 的 一 些 细节 信息 。 

3. 选择 可 能 的 服务 ”从 已 经 发 现 的 可 能 的 服务 候选 集合 中 ， 选 择 能 实现 工作 流 活动 的 可 能 服 
务 。 选 择 标 准 肯定 要 包括 所 提供 的 服务 的 功能 ， 也 可 能 包含 所 提供 服务 的 成 本 和 服务 品质 (响应 、 
有 用 性 等 )。 可 以 选择 许多 功能 等 效 的 服务 ， 根 据 其 成 本 和 质量 将 它们 绑 定 到 某 个 工作 流 活动 上 。 

4. 精炼 工作 流 ” 基 于 已 经 选择 服务 的 信息 ， 精 炼 工 作 流 。 这 包括 把 细节 加 入 到 抽象 描述 中 ， 
以 及 可 能 的 话 ， 增 加 或 删除 工作 流 活 动 。 然 后 可 能 要 重复 服务 发 现 和 选择 阶段 。-- 旦 选择 了 一 组 
稳定 的 服务 ， 并 建立 起 了 最 终 的 工作 流 ， 就 转移 到 过 程 的 下 一 个 阶段 。 

5. 创建 工作 流程 序 在 此 阶段 ， 将 抽象 工作 流 设 计 转 换 为 一 个 可 执行 程序 并 定义 服务 的 接 
口 。 服 务实 现 可 以 使 用 常用 的 编程 语言 ， 例 如 Java 或 C#， 或 工作 流 语 言 ， 如 WS-BPEL。 如 前 面 
所 讨论 的 ， 服 务 接口 描述 应 该 用 WSDL 来 写 。 这 一 阶段 也 可 能 包含 基于 Web 的 用 户 界面 的 创建 ， 
从 而 允许 从 Web 浏览 器 访问 新 的 服务 。 

6. 测试 完成 的 服务 或 应 用 ”在 使 用 外 部 服务 的 情形 ， 对 完工 的 复合 服务 的 测试 过 程 比 组 件 
测试 更 为 复杂 。19. 3. 2 节 将 讨论 测试 问题 。 

在 本 章 的 剩余 部 分 ， 将 重点 放 在 工作 流 设计 和 测试 上 。 实 际 上 ， 服 务 发 现 看 起 来 并 不 是 一 个 主 
要 问题 。 实 际 情况 仍然 是 绝 大 多 数 服 务 复 用 是 机 构 内 的 ， 在 组 织 内 通过 使 用 内 部 注册 处 和 软件 工程 
师 之 间 的 非 正式 交流 ,这些 服 务 得 以 发 现 。 标 准 的 搜索 引擎 可 以 用 来 发 现 公共 的 可 用 服务 。 


19.3.1 工作 流 设计 和 实现 


工作 流 设计 包括 分 析 现 有 的 或 计划 中 的 业务 过 程 来 理解 所 发 生 的 不 同 活动 以 及 这 些 活动 是 
怎么 交换 信息 的 ， 接 着 用 工作 流 设计 符号 定义 新 的 业务 流程 。 工 作 流 设计 列 出 了 执行 过 程 中 的 
各 个 阶段 和 不 同 过 程 阶段 之 间 所 传递 的 信息 。 然 而 ,已 有 的 过 程 可 能 是 非 正式 的 且 是 依赖 于 过 
程 中 人 的 技术 和 和 能力， 而 并 没有 一 个 “规范 ”的 工作 方式 或 过 程 定义 。 在 这 种 情况 下 ， 我 们 就 不 
得 不 使 用 当前 过 程 的 知识 来 设计 工作 流 ， 使 之 达到 的 同样 的 目标 。 

工作 流 表示 的 是 业务 过 程 模型 ， 且 通常 使 用 图 形 形 式 来 描述 ， 例 如 UML 活动 图 ， BPMN, Bp 
业务 过 程 建 模 符 号 (Business Process Modeling Notation) 系统 (White, 2004a; White 和 Miers, 
2008) 。 它 们 提供 类 似 的 功能 (White, 2004b), 。 作 者 认为 BPMN 和 UML 活动 图 以 后 可 能 会 整合 到 
一 起 ， 工 作 流 模型 标准 的 制定 将 会 是 基于 这 种 整合 后 的 语言 的 。 本 章 中 的 例子 使 用 BPMN 描述 。 

BPMN 是 一 种 相当 容易 理解 的 图 形 语言 。 人 们 定义 了 一 种 映射 ， 将 此 语言 翻译 为 较 低级 的 、 基 
于 XML 的 描述 一 一 WS-BPEL 描述 。 因 此 BPMN 与 一 系列 在 图 19-2 中 所 示 的 Web 服务 标准 是 一 
致 的 。 
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19-14 是 BPMN 模型 的 一 个 简单 例子 ， 这 是 前 面 的 假期 计划 脚本 的 部 分 内 容 。 模 型 给 出 了 旅 
馆 预 订 的 简化 工作 流 ， 假 定 存 在 一 个 Hotels 服务 ， 其 关联 操作 称 为 GetRequirements、CheckAvail- 
ability, ReserveRooms 、NoAvailability 、ConfirmReservation 和 CanceljReservation。 此 过 程 包括 得 到 来 自 
客户 的 需求 ， 然 后 检查 是 否 有 空余 房间 可 用 ， 如 果 房 间 是 可 用 的 ,按照 所 要 求 的 日 期 预订 房间 。 





图 19-14 宾馆 预定 工作 流 片 段 


此 模型 导入 了 BPMN 的 一 些 用 来 创建 工作 流 模型 的 核心 概念 ; 

l. 贺 角 和 矩形 表示 活动 。 一 个 活动 能 被 一 个 人 或 一 个 自动 化 服务 执行 。 

2. 圆圈 表示 事件 。 一 个 事件 是 在 一 个 业务 过 程 当 中 发 生 的 某 事 。 简单 圆圈 用 来 表示 一 个 开 
始 事件 ， 较 黑 的 圆圈 表示 一 个 结束 事件 。 双 层 圆圈 (没有 给 出 ) 用 来 表示 一 个 中 间 事 件 。 事 件 
可 以 是 时 钟 事 件 ， 因 而 允许 工作 流 定 期 地 或 超时 地 执行 。 

3. 菱形 用 来 表示 一 个 通道 。 通 道 是 过 程 中 的 一 个 阶段 ， 在 此 做 出 某 个 选择 。 举例 来 说 ,在 
图 19-14 中 ， 有 一 个 选择 是 根据 房间 是 否 可 用 而 做 出 的 。 

4. 实 线 箭头 用 来 表示 活动 序列 ;虚线 箭头 表示 活动 之 间 的 消息 流 ， 在 图 19-14 中 ， 这 些 消息 
在 旅馆 预订 服务 与 客户 之 间 传 递 。 

这 些 主要 特征 足够 描述 大 多 数 工作 流 的 本 质 。 然 而 ，BPMN 还 包含 许多 另外 的 特征 ， 这 里 不 
再 过 多 描述 。 这 些 特 征 将 信息 添加 到 业务 过 程 描述 中 ， 使 之 能 够 自 动 被 翻译 为 一 种 可 执行 的 服 
务 。 因 此 ， 用 BPMN 描述 的 服务 组 合成 的 Web 服务 可 以 从 业务 过 程 模型 中 直接 生成 。 

图 19-14 显示 的 是 在 某 机 构 中 使 用 的 过 程 ， 这 是 一 个 提供 预订 服务 的 公司 。 然 而 ， 面 向 服务 
方法 的 主要 好 处 在 于 它 支持 机 构 间 计算 。 这 意味 着 整个 计算 涉及 不 同 公司 的 服务 。 这 可 以 用 
BPMN 表示 出 来 ， 通 过 为 每 个 参与 交互 的 机 构 开 发 单独 的 工作 流 完 成 的 。 

为 了 阐明 这 一 点 ,采用 另外 一 个 例子 ， 该 例子 与 高 性 能 计算 有 关 。 面向 服务 的 方法 的 提出 允 
许 共享 诸如 高 性 能 计算 机 这 样 的 资源 。 在 本 例 中 ， 假定 一 个 矢量 处 理 计 算 机 (一 个 能 在 值 数 组 
上 执行 并 行 计算 的 机 器 ) 作为 一 个 服务 ( VectorProcService ) 由 一 研究 实验 室 提供 。 它 通过 另外 
一 个 被 称 为 SetupComputation 的 服务 进行 访问 。 这 些 服 务 以 及 它们 的 交互 如 图 19-15 所 示 。 

在 此 例 中 ，SetupComputation 服务 的 工作 流 请 求 访问 一 矢量 处 理 机 ， 如 果 有 处 理 机 是 可 用 的 ， 
就 建立 所 需要 的 计算 并 下 载 数 据 到 正在 处 理 的 服务 。 一 旦 计算 完成 ， 结果 便 被 存储 在 本 地 计算 
机 上 。VectorProcService 的 工作 流 检查 处 理 机 是 否 可 用 ， 为 计算 分 配 资源 ， 初 始 化 系统 ， 执 行 计 
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算 并 返回 结果 给 客户 服务 。 


SetupComputation 
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Æ 19-15 交互 中 的 工作 流 


在 BPMN 术语 中 ,每 个 机 构 的 工作 流 被 表示 在 一 个 独立 的 池 中 。 用 图 表示 为 : 将 过 程 中 的 每 
个 参与 者 的 工作 流 包 在 一 个 矩形 中 ， 并 在 左 侧 边缘 上 垂直 写 下 名 称 。 在 各 个 池 中 定义 的 工作 流 
通过 交换 消息 完成 它们 之 闻 的 协调 ; 不 同 池 中 的 活动 之 间 的 序列 流 是 不 允许 的 。 有 时 候 某 机 构 
的 不 同 部 门 都 参与 了 一 个 工作 流 ， 这 可 以 通过 将 池 分 隔 为 一 个 个 “航道 ”予以 表示 。 各 个 航道 
表示 在 机 构 的 那个 部 门 中 的 活动 。 

一 旦 业务 过 程 模型 设计 出 来 ， 它 必须 经 过 提炼 ， 这 依赖 于 已 经 发 现 了 的 服务 。 如 在 对 图 19- 
13 的 讨论 中 所 说 的 ， 模 型 可 能 需要 经 历 很 多 次 重复 ， 直 到 所 做 出 的 设计 使 得 对 可 用 服务 达到 了 
最 大 可 能 次 数 的 复 用 。 

一 旦 最 终 的 设计 完成 ， 接 着 就 必须 将 其 转换 成 一 个 可 执行 程序 。 这 个 过 程 包 括 两 个 活动 ， 

L 实现 找 不 到 可 供 复 用 的 服务 。 因 为 服务 是 与 实现 语言 无 关 的 ， 可 以 用 任何 语言 编写 , H 
Java 和 C# 开 发 环境 都 提供 对 Web 服务 组 合 的 支持 。 

2. 生成 工作 流 模型 的 可 执行 版 本 。 这 通常 涉及 把 模型 转化 为 WS-BPEL， 不 管 是 手工 还 是 自 
动 生成 。 尽 管 有 许多 可 用 的 工具 自动 完成 BPMN-WS-BPEL 过 程 ， 也 有 一 些 情 况 下 很 难 从 工作 流 
模型 生成 可 读 的 WS-BPEL 代码 。 

为 了 提供 对 Web 服务 组 合 实现 的 直接 支持 ， 人 们 提出 了 一 些 Web 服务 标准 。 如 本 章 的 引言 
中 提 到 的 ，WS-BPEL (业务 过 程 执行 语言 ) ， 它 是 一 个 基于 XML 的 “编程 语言 ”去 控制 服务 之 
间 的 交互 。 它 也 是 得 到 另外 的 标准 支持 的 ， 例 如 WS-Coordination (Cabrera 等 ，2005) ， 它 用 于 规 
定 服务 之 间 如 何 协同 ， 而 WS-CDL (Choreography Description Language， 编 排 描述 语言 ) ( Kavant- 
zas 等 , 2004) ， 它 是 一 个 定义 参与 者 之 间 消 息 交 换 的 方法 ( Andrews 等 , 2003) 。 


19.3.2 ”服务 测试 


测试 对 于 所 有 的 系统 开发 过 程 来 说 都 是 重要 的 ， 因 为 它 表明 一 个 系统 满足 它 的 功能 性 和 非 
功能 性 需求 ， 且 检测 在 开发 过 程 中 所 导入 的 缺陷 。 许 多 的 测试 技术 ,例如 程序 检查 和 覆盖 测试 ， 
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依赖 于 对 软件 源 代码 的 分 析 。 然 而 ， 当 服务 由 一 外 部 提供 者 所 提供 时 , 服务 实现 的 源 代码 是 不 可 
得 的 。 因 此 基于 服务 的 系统 的 测试 不 能 使 用 公认 的 基于 源 代码 的 技术 。 

在 对 服务 和 服务 组 合 进行 测试 时 , 除了 有 对 服务 实现 的 理解 问题 外 ,测试 者 也 可 能 面 对 更 大 
的 困难 : 

1. 外 部 服务 是 受 控 于 服务 提供 者 而 非 服务 的 用 户 。 服 务 提供 者 随时 可 能 撤销 这 些 服 务 或 改 
变 它 们 ， 而 这 些 都 将 使 先前 的 所 有 应 用 测试 失效 。 这 些 问题 在 软件 组 件 中 是 通过 维护 组 件 的 不 
同 版 本 得 到 解决 的 。 然 而 现在 ， 还 没有 提出 来 任何 标准 去 处 理 服 务 版 本 。 

2. 面向 服务 体系 结构 的 远景 目标 是 服务 动态 绑 定 到 面向 服务 的 应 用 。 这 意味 着 ， 一 个 应 用 
在 每 次 执行 时 可 能 不 总 是 使 用 相同 的 服务 。 所 以 ,测试 当 一 个 应 用 被 绑 定 到 某 个 特殊 服务 的 时 
候 可 能 是 成 功 的 ， 但 是 不 能 保证 那个 服务 将 在 系统 的 一 个 实际 执行 过 程 中 得 到 使 用 。 

3， 服 务 的 非 功能 性 行为 不 只 依赖 于 它 是 如 何 被 正在 测试 的 应 用 使 用 的 。 一 个 服务 在 测试 期 
间 可 能 执行 得 很 好 ， 因 为 它 没有 在 一 个 很 重 的 负载 之 下 运行 。 实 际 中 ， 所 观察 的 服务 行为 可 能 是 
不 同 的 ， 因 为 别 的 用 户 所 提出 的 要 求 是 不 一 样 的 。 

4. 服务 的 支付 模型 可 以 使 服务 测试 变 得 非常 郧 贵 。 有 不 同 种 可 能 的 支付 模型 一 一 某 些 服务 
可 以 是 免费 得 到 的 ， 有些 服务 通过 注册 付款 ， 其 他 服务 是 每 次 使 用 时 付款 。 如 果 服 务 是 免费 的 ， 
那么 服务 提供 者 不 希望 服务 被 正在 进行 测试 的 应 用 加 载 ， 如 果 需 要 注册 ， 那 么 服务 用 户 可 能 在 
测试 服务 之 前 不 情愿 同意 它 的 注册 条 款 ; 同样 ， 如 果 使 用 服务 是 基于 每 次 使 用 付款 的 ， 服 务 的 用 
户 可 能 会 发 现 测试 成 本 令 人 望而却步 。 

5. 前 面 已 经 讨论 了 补偿 动作 的 概念 ， 当 某 个 异常 发 生 而 先前 做 出 的 承诺 (例如 一 次 班机 预 
W) 不 得 不 撤销 的 时 候 ， 补 偿 动作 被 调用 。 对 这 样 的 动作 进行 测试 存在 一 个 问题 ， 因 为 它们 可 
能 与 其 他 服务 失败 有 关 。 确 保 这 些 服务 在 测试 过 程 内 真 的 失效 可 能 非常 困难 。 

当 使 用 的 是 外 部 服务 时 ， 这 些 问 题 就 特别 敏感 。 当 服务 来 自 于 同一 公司 或 对 伙伴 公司 所 提 
供 的 服务 信任 时 ， 解 决 这 些 问题 就 比较 轻 。 在 这 种 情况 下 ， 源 代码 是 可 以 得 到 的 ， 可 以 用 它们 来 
指导 测试 过 程 ， 对 服务 的 支付 也 不 是 什么 问题 。 解 决 这 些 测试 问题 ， 提 出 对 测试 面向 服务 应 用 的 
准则 、 工 具 和 技术 仍然 是 一 个 重要 的 研究 课题 。 


要 点 


w 面向 服务 的 体系 结构 是 可 复 用 软件 工程 的 一 种 方法 ， 可 复 用 的 标准 化 的 服务 是 应 用 系统 的 
基本 积木 块 。 
里 服务 接口 是 用 一 种 被 称 为 WSDL 的 基于 XML 的 语言 定义 的 。 一 个 WSDL HRA: 对接 
口 类 型 和 操作 的 定义 ， 由 服务 所 使 用 的 绑 定 协议 ， 以 及 服务 的 位 置 。 
服务 可 以 被 分 为 ， 提供 某 一 通用 目的 功能 的 实用 服务 、 实 现 部 分 业务 过 程 的 业务 服务 或 协 
调 其 他 服务 执行 的 协同 服务 。 
a 服务 工程 过 程 包括 为 实现 找 出 可 选 服务 、 定 义 服务 接口 并 实现 、 测 试 和 部 署 服务 。 
a 对 机 构 仍 然 有 用 的 遗留 软件 系统 ， 可 能 要 定义 服务 接口 。 这 样 遗 留 系统 的 功能 就 可 以 在 其 
他 应 用 中 继续 得 到 使 用 了 。 
m 使 用 服务 的 软件 开发 是 基于 这 样 的 思想 : 程序 的 创建 是 通过 组 合并 配置 服务 来 创建 复合 服务 。 
里 业务 过 程 模型 定义 活动 和 发 生 在 某 个 业务 过 程 中 的 信息 交换 。 业 务 过 程 中 的 活动 可 以 由 服 
务实 现 ， 这 样 业务 过 程 模型 代表 的 是 一 个 服务 组 合 。 


进一步 阅读 材料 
网 上 有 大 量 的 指导 材料 ， 涵 盖 了 Web 服务 的 所 有 方面 。 然 而 ， 作 者 发 现 Thomas Ed 所 著 的 
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下 面 两 本 书 是 对 服务 以 及 服务 标准 最 好 的 综述 和 阅读 材料 。 与 绝 大 多 数 的 书 不 同 ， 瑟 1 在 面向 服 
务 计算 方面 给 出 了 一 些 有 关 软 件 工程 问题 的 讨论 。 他 还 写 了 更 专业 的 关于 服务 设计 和 SOA 模式 
设计 方面 的 书 , 但 是 这 些 书 一 般 都 是 针对 有 SOA 实现 经 验 的 读者 。 

«Service-Oriented Architecture: A Field Guide to Integrating XML and Web Services) ABH EE 
”聚焦 在 作为 SOA 框架 的 重要 的 基于 XML 的 技术 (SOAP, WSDL, BPEL 等 ) (T. En, Prentice 

Hall, 2004), 

«Service-Oriented Architecture; Concepts, Technology and Design》 这 是 一 本 关于 面向 服务 系统 
工程 的 更 全 面 的 书 。 这 本 书 与 上 边 那 本 有 一 点 重生 ,但 是 Erl 主要 涌 焦 在 讨论 面向 服务 方法 是 如 
何在 软件 过 程 的 各 个 阶段 使 用 的 〈T. Ed, Prentice Hall, 2005), 

«SOA realization; Service design principles》 这 篇 短小 的 网 络 文章 是 对 服务 设计 中 应 考虑 的 问 
题 的 一 个 很 好 的 概述 (D. J. N. Atrus, IBM, 2006), http://www. ibm. com/ developerworks/ webser- 
vices/ library/ ws-soa-design/ , 


练习 


19.1 服务 和 软件 组 件 之 间 的 最 主要 区 别 是 什么 ? 

19.2 解释 为 什么 面向 服务 的 体系 结构 应 该 基于 标准 。 

19.3 ”使 用 相同 的 符号 ,扩展 图 19-5 使 包含 对 MaxMinType 和 InDataFault 的 定义 。 温 度 应 该 表示 为 整数 ， 有 
一 个 附加 字段 指示 是 否 为 华氏 温度 或 摄氏 温度 的 。inDataFault 应 该 是 一 个 包含 一 错误 代码 的 简单 类 型 。 

19.4 为 图 19-7 所 示 的 Currency Converter (货币 兑换 ) 和 Check credit rating (检查 信用 等 级 ) 两 服务 分 别 
给 出 一 接口 定义 描述 。 

19.5 为 图 19-11 所 示 的 服务 设计 可 能 的 输入 和 输出 消息 。 可 以 用 UML 或 XML。 

19.6 给 出 两 种 重要 的 应 用 类 型 ， 对 于 这 两 种 应 用 类 型 你 会 建议 不 要 使 用 面向 服务 的 体系 结构 。 给 出 你 的 
理由 。 

19.7 在 19.2.1 节 中 ,介绍 了 一 个 开发 目录 服务 公司 的 例子 ， 此 目录 服务 是 客户 的 基于 Web 的 采购 系统 
所 调用 的 。 用 BPMN 设计 一 工作 流 ， 使 用 这 个 目录 服务 查询 和 下 达 计 算 机 设备 的 订单 。 

19.8 解释 一 下 “补偿 动作 ”的 含义 ， 并 用 一 例子 说 明 为 什么 这 些 动 作 可 能 必须 包含 在 工作 流 中 。 

19.9 ”对 于 一 找 子 假期 预订 服务 这 个 例子 , 设计 一 个 为 一 批 到 达 机 场 的 乘客 预订 地 面 运输 的 工作 流 。 应 该 
提供 给 乘客 选项 使 之 可 以 选择 出 租车 还 是 大 巴 。 你 可 以 假定 出 租车 和 汽车 租赁 公司 提供 Web 服务 支 
持 预 订 。 | 

19.10 ”用 一 个 例子 ， 详 细 解 释 为 什么 对 包含 补偿 动作 的 服务 进行 彻底 的 测试 是 困难 的 。 
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嵌入 式 软件 





目标 
本 章 的 目标 是 介绍 说 入 式 实时 系统 的 重要 特征 和 实时 软件 工程 ， 读 完 本 章 ， 你 将 了 解 以 下 

内 容 : 

a 理解 嵌入 式 软件 的 概念 ， 嵌 人 式 软件 用 于 必须 对 那些 来 自 其 环境 的 外 部 事件 做 出 反应 的 控 
制 系统 ; 

a 介绍 实时 系统 的 设计 过 程 ， 软 件 系统 组 织 成 一 组 协作 的 过 程 ; 

a 理解 常用 于 嵌 人 式 实时 系统 设计 的 三 大 体系 结构 模式 ; 

a 理解 实时 操作 系统 的 构成 以 及 它们 在 嵌 人 式 实时 系统 中 的 作用 。 


从 简单 的 家 用 电器 到 整个 制造 工厂 ， 采 用 计算 机 控制 的 系统 非常 广泛 。 这 些 计算 机 直接 与 
硬件 装置 交互 。 它 们 需要 对 硬件 产生 的 事件 做 出 响应 并 发 出 相应 的 控制 信号 。 这 些 信号 引发 动 
fe, 例如， 开始 一 个 电话 呼叫 、 在 屏幕 上 角色 的 移动 、 阀 门 的 打开 、 系 统 状况 的 显示 。 这 些 系统 
中 的 软件 嵌 人 到 硬件 中 ， 通 常 是 只 读 存储 器 里 ， 并 且 总 是 能 实时 地 响应 系统 环境 中 的 事件 。 在 实 
际 应 用 中 ， 软 件 系统 响应 外 部 事件 有 一 个 时 限 。 如 果 超 过 了 这 个 时 限 ， 整 个 硬件 软件 系统 将 不 能 
正确 地 运行 。 

现在 由 于 几乎 每 种 电器 设备 都 包括 软件 ， 嵌 人 式 软件 变 得 非常 重要 。 与 其 他 类 型 的 软件 系 
统 相 比 ， 媒 人 式 软件 系统 更 多 。 如 果 环 视 屋内 ， 你 可 能 有 三 四 台 个 人 电脑 。 但 是 你 可 能 有 20 或 
30 个 嵌入 式 系统 ， 如 电话 、 炉 灶 、 微 波 炉 等 系统 。 

实时 响应 是 嵌入 式 系 统 和 其 他 软件 系统 之 间 的 一 个 最 为 重要 的 不 同 点 。 这 里 所 说 的 其 他 系 
统 ， 如 信息 系统 、 基 于 Web 的 系统 或 者 个 人 软件 系统 ， 它 们 的 主要 目的 是 数据 处 理 。 对 于 非 实 时 
系统 ,它们 的 正确 性 可 以 通过 指定 系统 输入 如 何 映射 到 由 系统 产生 的 对 应 的 输出 来 定义 。 对 一 
个 输入 的 响应 ， 系 统 应 该 产生 对 应 的 一 个 输出 ， 通 常 应 该 存储 一 些 数 据 。 例 如 ， 在 病人 信息 系统 
中 ， 如 果 你 选择 一 条 创建 命令 ,那么 正确 的 系统 响应 是 在 数据 库 中 创建 一 条 新 的 病人 记录 ， 并 证 
实 这 已 经 实现 。 在 合理 的 限度 内 ， 它 的 执行 与 时 间 无 关 。 

然而 ， 在 实时 系统 中 ， 准 确 性 既 依 赖 于 对 输入 的 响应 ， 叉 依赖 于 产生 该 响应 的 时 间 。 如 果 系 
统 要 花费 太 长 时 间 去 响应 的 话 ， 那 么 所 要 的 响应 可 能 是 无 效 的 。 例 如 ,如 果 嵌 人 式 软 件 控制 的 汽 
车 刹车 系统 执行 太 慢 ， 那 么 由 于 车 不 能 及 时 停 下 来 ， 就 会 发 生 事故 。 

因此 ， 在 实时 软件 系统 的 定义 中 ， 时 间 是 固有 要 素 : 

实时 系统 是 一 个 软件 系统 ， 系 统 的 功能 正确 与 和 否 取决 于 系统 产生 的 结果 以 及 产生 这 个 结果 
的 时 间 。“ 软 ”实时 系统 是 这 样 一 个 系统 ， 如 果 结 果 没 有 在 规定 的 时 间 内 产生 ， 则 它 的 操作 被 视 
为 退化 的 操作 ,“ 硬 ”实时 系统 是 这 样 一 个 系统 ， 如 果 结 果 没 有 在 规定 的 时 间 内 产生 ， 则 它 的 操 
作 被 视 为 系统 失败 。 

对 于 所 有 髋 人 式 系统 来 说 ， 及 时 响应 是 一 个 重要 的 因素 , 但是， 在 某 些 情况 下 ， 却 不 需要 非 
常 快速 的 响应 。 例 如 ， 在 前 面 多 章 中 使 用 过 的 胰岛 素 泵 系统 就 是 一 个 恢 人 式 系统 。 然 而 ， 在 它 需 
要 对 血糖 值 做 检测 的 周期 性 间隔 当中 ， 不 需要 对 外 部 事件 进行 十 分 迅速 的 响应 。 野 外 气象 站 软 
件 也 是 一 个 嵌入 式 系 统 ， 但 是 它 也 不 要 求 对 外 部 事件 进行 迅速 的 响应 。 
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除了 包含 实时 响应 的 需求 以 外 ， 肉 入 式 系统 和 其 他 类 型 的 软件 系统 之 间 还 有 其 他 的 重要 不 
同 点 : 

L 嵌入 式 系统 通常 持续 运行 而 不 终止 。 当 硬件 开启 时 ,系统 开始 执行 ， 且 必须 执行 直到 硬 
件 被 关闭 。 这 就 意味 着 可 靠 的 软件 工程 技术 ， 正 如 第 13 章 中 介绍 的 ， 必 须 用 来 确保 连续 运行 。 
实时 系统 可 能 包括 更 新 机 制 来 支持 动态 配置 ， 这 样 系统 处 于 服务 期 间 也 能 得 到 更 新 。 

2， 和 系统 环境 的 交互 是 不 可 控制 和 不 可 预测 的 。 在 交互 系统 中 ， 交 互 的 节奏 是 受 系统 控 
制 的 。 通 过 限制 用 户 选 择 ， 待 处 理 的 事件 是 可 以 提前 了 解 的 。 相 反 ， 实 时 嵌入 系统 必须 能 对 
任何 时 候 的 意外 事件 做 出 反应 。 这 导致 了 对 实时 系统 的 设计 是 基于 并 发 性 的 ， 多 个 进程 并 行 
执行 。 

3. 存在 影响 系统 设计 的 物理 限制 。 这 样 的 例子 包括 系统 可 利用 的 电源 限制 和 硬件 占据 的 物 
理 空间 的 限制 。 这 些 限制 可 能 会 产生 对 嵌入 式 软 件 的 需求 ， 例 如 ， 节 约 能 量 以 延长 电池 供电 时 间 
的 需求 。 尺 寸 和 重量 的 限制 意味 着 软件 要 承担 一 些 硬 件 功能 ， 因 为 系统 需要 限制 使 用 的 芯片 
数量 。 

4. 直接 硬件 交互 是 必要 的 。 在 交互 式 系统 和 信息 系统 中 ， 有 一 个 软件 层 (设备 驱动 ) 对 
操作 系统 隐藏 了 硬件 。 这 是 可 能 的 ， 因 为 你 只 能 将 几 种 类 型 的 设备 连接 到 系统 ， 例 如 键盘 、 
鼠标 、 显 示 器 等 。 相 反 ， 肉 入 式 系统 要 和 各 种 各 样 的 硬件 设备 交互 ， 而 这 些 设 备 没有 单独 的 
设备 驱动 。 

5. 安全 性 和 可 靠 性 在 系统 设计 中 占据 主要 的 地 位 。 许 多 嵌入 式 系统 控制 的 设备 如 果 失 败 了 
会 带 来 高 昂 的 人 力 或 经 济 成 本 。 因 此 ， 可 依赖 性 是 至 关 重要 的 ， 并 且 系 统 设计 必须 确保 设备 一 直 
部 保持 着 安全 要 求 极 高 的 行为 。 通 常 采用 保守 的 方法 设计 ， 即 使 用 调试 过 或 测试 过 的 成 熟 的 技 
术 ， 而 不 是 使 用 可 能 会 导致 失败 模式 的 新 技术 。 

艇 人 式 系 统 可 以 看 做 是 反应 式 系统 ， 即 它们 必须 以 环境 所 要 求 的 特定 的 速度 对 环境 中 的 事 
件 做 出 反应 〈Bery，1989; Lee, 2002) 。 响 应 时 间 通 常 是 由 物理 学 定律 所 控制 的 而 非 为 人 的 便 
捷 所 选择 的 。 这 一 点 与 其 他 软件 系统 很 不 一 样 ， 其 他 类 型 软件 系统 控制 着 交互 速度 。 例 如 ， 作 者 
用 于 写 书 的 字 处 理 器 能 够 检查 拼写 和 语法 ， 对 处 理 所 用 的 时 间 没 有 限制 。 


20.1 ONCE 


嵌入 式 系 统 的 设计 过 程 是 一 个 系统 工程 的 过 程 ， 在 该 过 程 中 软件 设计 者 要 深入 考虑 系统 硬 
件 的 设计 和 性 能 。 部 分 系统 设计 过 程 是 要 决定 哪些 系统 能 力 要 用 软件 实现 ， 哪 些 要 用 硬件 实现 。 
对 于 很 多 嵌入 在 消费 类 产品 (如 手机 ) 中 的 实时 系统 来 说 ,硬件 的 成 本 和 电能 消耗 是 一 个 非常 
重要 的 问题 。 需 要 使 用 专用 的 处 理 器 来 支持 嵌入 式 系统 ， 而 对 于 某 些 系统 ， 可 能 还 需要 设计 和 建 
造 专用 的 硬件 。 

这 意味 着 自 上 而 下 的 软件 设计 过 程 ， 即 设计 开始 于 抽象 模型 ， 通 过 一 系列 阶段 对 抽象 模型 
分 解 和 开发 。 这 一 过 程 对 于 绝 大 多 数 实时 系统 来 说 是 不 现实 的 。 对 于 硬件 、 支 持 软 件 以 及 系统 时 
序 等 方面 的 一 些 下 层 决策 ， 需 要 在 过 程 的 早期 考虑 。 这 些 限制 了 系统 设计 者 的 灵活 性 ， 可 能 意味 
着 一 些 额外 的 软件 功能 ， 比 如 电池 和 电源 管理 必须 包括 在 系统 内 。 

考虑 到 嵌 人 式 系统 是 对 它们 的 环境 中 的 事件 做 出 反应 的 反应 式 系统 ， 对 嵌 人 式 实时 软件 设 
计 的 一 般 方法 是 基于 激励 — 响应 模型 。 激 励 是 发 生 在 软件 系统 环境 中 引起 系统 以 某 种 方式 响应 
的 事件 ;响应 是 由 软件 发 送 到 它 的 环境 的 一 种 信号 或 消息 。 

我 们 可 以 通过 列 出 由 系统 接收 的 激励 和 相关 联 的 响应 ， 以 及 响应 必须 产生 的 时 间 ， 来 定义 
一 个 实时 系统 的 行为 。 例 如 ， 图 20-1 给 出 了 防盗 报警 系统 的 可 能 的 激励 和 系统 响应 。20. 2. 1 节 
给 出 了 更 多 关于 该 系统 的 信息 。 
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单个 传感器 结果 为 正 启动 警报 ; 打开 此 传感器 附近 的 照明 灯光 


两 个 或 更 多 的 传感器 结果 为 正 | 启动 警报 ; 打开 此 传感器 附近 的 照明 灯光 。 报 告警 察 有 可 疑 闽 入 的 位 置 

















电压 降 10% ~20% 切换 到 备份 电池 供电 ; 运行 电源 供电 测试 

电压 降幅 超过 20% 切换 到 备份 电池 供电 ; 启动 警报 ; 报告 警察 ;运行 电源 供电 测试 
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控制 台 紧急 按钮 被 按 下 启动 警报 ; 打开 控制 台 附近 黑 明 灯光 ; 呼叫 警察 
清除 警报 关 掉 所 有 开启 的 警报 ; 关 掉 所 有 打开 的 昭明 灯光 


图 20-1 防盗 报警 系统 的 激励 和 响应 





激励 有 两 类 : 

1. 周期 性 的 激励 ”在 每 个 可 预测 的 时 间 时 隔 内 发 生 。 举 例 来 说 ， 系 统 可 能 每 隔 50 ms 检查 一 
次 传感器 ， 根 据 传感器 的 值 〈 激 励 ) 采取 响应 行动 。 

2. 非 周 期 性 的 激励 ”这 种 激励 是 不 规则 地 发 生 的 ， 也 是 不 可 预测 的 。 通 常 使 用 计算 机 的 中 
断 机 制 发 送信 号 。 这 种 激励 的 例子 是 一 个 中 断 ， 它 指示 输入 /输出 传输 完成 且 数 据 已 经 在 缓冲 器 
中 了 。 

如 图 20-2 所 示 ， 激 励 来 自 于 系统 环境 中 的 传感器 ， 响 应 被 发 送 到 执行 器 (actuator) 。 实 时 系 
统 的 一 般 设 计 准 则 是 对 于 每 一 类 传感器 和 执行 器 有 不 同 的 进程 〈 见 图 20-3) 。 这 些 执行 器 控制 设 
备 , 例如 泵 ， 由 此 对 系统 环境 做 出 改变 。 执 行 器 自身 也 可 以 产生 激励 。 来 自 于 执行 器 的 激励 通常 
提示 某 些 问题 的 发 生 必须 由 系统 处 理 。 





实时 控制 系统 







图 20-2 嵌入 式 实时 系统 的 一 般 模型 


对 每 一 类 传感器 ， 有 一 个 传感器 管理 进程 处 理 来 自 于 传感器 的 数据 采集 。 数 据 处 理 进程 计 
算 收 到 激励 所 需要 的 响应 。 执 行 器 控制 进程 是 与 每 个 执行 器 相关 联 的 并 且 管 理 执行 器 的 操作 。 
这 个 模型 能 从 传感器 迅速 采集 数据 (在 被 下 个 
输入 覆盖 之 前 ) ， 并 人 允许 之 后 对 数据 的 加 工 以 
及 相关 执行 机 构 的 响应 执行 。 

实时 系统 需要 响应 不 同时 间 里 发 生 的 激 
励 ， 因 此 ， 它 的 体系 结构 的 组 织 需要 保证 只 要 
接收 到 激励 ， 立 即将 相应 的 控制 传 到 适当 的 处 
理 单元 中 去 。 这 在 顺序 程序 中 是 不 现实 的 ， 因 图 20-3 传感器 和 执行 器 进程 
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此 ， 正 常情 况 下 ， 实 时 软件 系统 都 被 设计 成 一 组 并 发 协作 的 进程 。 为 了 支持 这 些 进程 的 管理 ， 实 
时 系统 所 处 的 执行 平台 可 能 包括 实时 操作 系统 (将 在 20.4 节 讨 论 ) 。 实 时 操作 系统 所 提供 的 功 
能 通过 对 所 用 的 实时 编程 语言 的 实时 支持 系统 访问 。 

并 没有 标准 的 嵌入 式 系 统 设计 过 程 。 使 用 不 同 的 过 程 取 决 于 系统 的 类 型 、 可 利用 硬件 以 及 
开发 系统 的 机 构 。 实 时 软件 设计 过 程 可 能 包含 以 下 几 步 : 

1， 平 台 选 择 ”此 活动 中 ， 为 系统 选择 一 个 执行 平台 〈 即 要 使 用 的 硬件 和 实时 操作 系统 ) 。 影 
响 这 些 选 择 的 因素 包括 系统 的 时 序 限 制 、 可 用 电源 的 限制 、 开 发 团队 的 经 验 、 交 付 系统 的 价格 
目标 。 

2. 激励 /响应 识别 ”包括 识别 系统 必须 处 理 的 激励 和 对 每 种 激励 相应 的 一 个 或 多 个 响应 

3. 时 序 分 析 ”对 于 每 种 激励 和 相应 的 响应 ， 找 到 应 用 于 激励 和 响应 处 理 的 时 序 约束 。 这 些 
用 于 在 系统 中 为 进程 建立 时 限 。 

4. 进程 设计 在 这 个 阶段 ， 将 激励 和 响应 处 理 聚 集 到 几 个 并 发 的 进程 中 。 设 计 进程 体系 结 
构 的 好 的 起 点 是 如 20. 2 节 所 描述 的 体系 结构 模式 。 然 后 ， 是 对 进程 体系 结构 的 优化 以 反映 出 你 
需要 实现 的 特殊 需求 。 

5. 算法 设计 对 于 每 个 激励 和 响应 设计 算法 执行 所 需要 的 运算 。 算 法 设计 需要 在 设计 过 程 
中 相对 早 些 进行 ， 给 出 要 求 处 理 的 数量 的 提示 和 完成 处 理 所 需 要 的 时 间 的 提示 。 这 对 于 计算 密 
集 型 任务 (如 信号 处 理 ) 是 相当 重要 的 。 

6. 数据 设计 定义 进程 交换 的 信息 以 及 协调 信息 交换 的 事件 ， 并 且 设 计 相 应 的 数据 结构 管 
理 信息 交换 。 几 个 并 发 进程 可 以 共享 这 些 数 据 结构 。 

7. 进程 调度 ”设计 调度 系统 确保 进程 及 时 开始 以 满足 它们 的 时 限 要 求 。 

在 实时 软件 系统 设计 过 程 中 这 些 活 动 的 顺序 依赖 于 所 要 开发 的 系统 的 类 型 、 它 的 过 程 和 
它 的 平台 需求 。 在 某 些 情况 下 ,我 们 可 能 能 够 遵循 一 种 相对 抽象 的 方法 ， 即 从 激励 和 相关 联 
的 处 理 开始 ， 并 在 稍 后 再 决定 硬件 和 执行 平台 。 在 其 他 情形 ， 对 硬件 和 操作 系统 的 选择 是 在 
软件 设计 开始 之 前 进行 的 ， 在 这 样 一 种 情况 下 ， 就 必须 在 软件 设计 中 充分 考虑 到 硬件 能 力 所 
带 来 的 约束 。 

实时 系统 中 的 进程 一 定 是 需要 协调 的 也 需要 共享 信息 。 进 程 协调 机 制 要 确保 在 共享 资源 时 
相互 排斥 。 当 一 个 进程 正在 修改 某 个 共享 资源 的 时 候 ， 其 他 进程 就 不 能 改变 该 资源 。 确 保 相互 排 
斥 的 和 机制 包括 : 信号 灯 机 制 〔Dijkstra，1968 ) ， 监 视 器 机 制 (Hoare, 1974), 关键 区 域 机 制 
(Brinch-Hansen, 1973) 。 在 操作 系统 的 教材 中 有 关于 这 些 机 制 的 详细 描述 (Silberschatz 等 ， 
2008; Tanenbaum, 2007), 

当 设 计 进 程 间 信息 交换 时 ， 要 考虑 这 些 进程 以 不 同 的 速度 在 运行 这 一 事实 。 一 个 进程 产生 
信息 ， 另 一 个 进程 消费 那个 信息 。 如 果 生 产 者 比 消费 者 运行 得 快 ， 在 消费 者 进程 读 原来 的 信息 之 
前 ， 新 的 信息 可 能 重 写 先前 读 人 的 信息 项 。 如 果 消 费 者 进程 比 生产 者 进程 运行 快 ， 同样 的 信息 可 
能 被 读 两 遍 。 

为 了 解决 这 个 问题 ， 应 该 使 用 共享 缓冲 区 并 且 用 互 斥 机 制 控制 对 缓冲 区 访问 的 方法 实现 信 
息 交 换 。 这 就 意味 着 在 信息 被 读 之 前 不 可 能 被 重 写 并 且 信 息 不 能 被 读 两 次 。 图 20-4 展示 了 共享 
存储 区 的 概念 。 这 通常 作为 循环 队列 实现 ， 这 样 生 产 者 和 消费 者 进程 之 间 的 速度 不 匹配 就 会 得 
到 调节 ， 不 至 于 耽误 进程 执行 

生产 者 进程 一 直 在 缓冲 区 队列 尾部 位 置 存 人 数据 (在 图 20-4 中 以 v10 表示 ) 。 消 费 者 
进程 一 直 从 队列 头 部 检索 信息 (在 图 20-4 中 以 vl BR), 消费 者 进程 检索 信息 之 后 ， 列 表 
的 头 部 被 调整 到 下 一 项 (v2) 处 。 当 生产 者 进程 增加 信息 后 后 列表 尾部 调整 到 列表 的 下 一 空 
位 处 。 
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很 明显 ， 确 保生 产 者 和 消费 者 进程 不 同时 访问 同一 项 ( 即 ， 当 Head = Tail 时 ) 是 非常 重要 
的 。 必须 确保 生产 者 进程 不 能 向 满 缓 冲 循环 缓冲 区 
m 、 





区 添加 项 ， 消 费 者 进程 不 能 从 空 缓冲 区 
取出 项 。 为 了 实现 这 一 点 ， 将 循环 缓冲 
区 实现 为 一 个 进程 ， 采 用 Get 和 Put 操 
作 访 问 缓冲 区 。 生 产 者 进程 调用 Put 操 
作 ， 消 费 者 进程 调用 Get 进程 。 同 步 原 
语 ， 如 信号 量 或 者 关键 区 域 ， 被 用 于 确 
保 Get 和 Put 操作 是 同步 的 ， 这 样 它们 
不 会 在 同一 时 间 访 问 同一 位 置 。 如 果 缓 
冲 区 满 了 ，Put 进程 就 等 待 一 直 等 到 覃 
变 空 ， 如 果 缓 冲 区 空 ，Get 进程 一 直 等 
待 直 到 产生 了 一 个 条 目 。 

一 且 为 系统 选择 了 执行 平台 ， 设 计 了 进程 的 体系 结构 并 确定 了 调度 策略 ， 接 下 来 就 要 检查 
系统 是 否 能 满足 它们 的 时 序 需 求 。 我 们 可 以 根据 组 件 的 时 序 行为 知识 通过 静态 分 析 来 做 此 项 工 
作 ， 也 可 以 通过 仿真 来 完成 。 这 样 的 分 析 能 暴露 出 系统 不 能 很 好 地 运行 的 情形 。 进 程 的 体系 结 
构 、 调 度 策 略 、 执 行 平台 或 者 所 有 这 些 都 必须 重新 设计 以 便 提 高 系统 的 性 能 。 

时 序 约束 或 者 是 其 他 需求 有 时 意味 着 我 们 最 好 是 用 硬件 而 不 是 软件 来 实现 某 些 系统 功能 ， 
比如 信号 处 理 。 最 新 的 硬件 组 件 ， 例 如 FPGA， 它 是 柔性 的 ， 可 以 适应 不 同 的 功能 。 硬 件 组 件 较 
之 软件 组 件 来 说 能 带 来 更 好 的 性 能 。 可 以 找到 系统 处 理 瓶 颈 并 采用 硬件 来 更 换 ， 这 样 能 避免 昂 
贵 的 软件 优化 。 


20.1.1 实时 系统 建 模 


实时 系统 需要 响应 的 事件 通常 引起 系统 从 一 个 状态 转移 到 另 一 个 状态 。 因 为 这 个 原因 ， 如 
第 5 章 描述 的 ， 状 态 模 型 通常 用 来 描述 实时 系统 。 系 统 的 状态 模型 假设 为 ， 系 统 在 任 一 时 刻 一 定 
处 于 多 个 可 能 状态 的 某 个 状态 中 。 当 接收 到 一 个 激励 时 ， 系 统 可 能 就 会 产生 一 次 状态 转换 。 举 例 
来 说 ， 当 操作 人 员 给 出 命令 (激励 ) 的 时 候 ， 控制 阀门 的 系统 可 能 从 “阀门 开启 ”状态 转 到 
“阀门 关闭 ”状态 。 

系统 的 状态 模型 是 一 个 很 好 的 语言 无 关 的 表达 实时 系统 设计 的 方式 ， 因 此 它 是 实时 系统 设 
计 方 法 的 一 个 基本 组 成 部 分 (Gomaa, 1993), UML 使 用 状态 图 支持 状态 模型 的 开发 〈Harel， 
1987; Harel, 1988) 。 状 态 图 是 形式 化 的 状态 机 模型 ， 支 持 层次 化 的 状态 ， 这 样 多 个 状态 组 可 以 
当成 一 个 单个 实体 。Douglass 讨论 了 在 实时 系统 开发 当中 的 UML 的 使 用 ( Douglass，1999) 。 如 
(SB 章 描述 的 ， 状 态 机 模型 用 于 模型 驱动 的 工程 来 定义 系统 的 操作 。 这 些 模 型 能 自动 转换 成 可 执 
行程 序 。 

第 5 章 已 经 用 简单 的 微波 炉 模 型 来 说 明了 这 个 系统 建 模 方法 。 图 20-5 是 另 一 个 状态 机 模型 的 
例子 ， 它 给 出 嵌入 在 汽油 (或 燃气 ) 泵 中 的 油料 输送 软件 系统 的 操作 。 圆 角 和 矩形 代表 系统 状态 ， 
箭头 代表 激励 ， 它 产生 从 一 个 状态 到 另 一 个 状态 的 转换 。 在 状态 机 图 中 所 选择 的 名 字 是 描述 性 
的 ， 相 关联 的 信息 指出 由 系统 执行 单元 所 执行 的 动作 或 者 是 显示 的 信息 。 注 意 ， 这 个 系统 从 来 不 
会 终止 ， 只 是 在 泵 不 工作 时 处 于 等 待 状态 。 

油料 传递 系统 是 为 无 看 守 运行 而 设计 的 。 购 买 者 将 信用 卡 插入 油泵 的 读 卡 机 。 这 引起 状态 
转移 到 Reading 状态 ， 此 时 卡 的 详细 信息 被 读 出 并 请 购买 者 收回 卡 。 取 回信 用 卡 触发 一 个 转移 到 
Validating 状态 的 转换 ， 此 时 验证 卡 是 否 有 效 。 如 果 卡 是 有 效 的 ， 系 统 就 初始 化 泵 ， 当 油料 软 管 





图 20-4 生产 者 /消费 者 进程 共享 循环 缓冲 区 
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图 20-5 汽油 (燃气) 泵 状态 机 模型 


从 皮 套 中 移出 ， 系 统 转换 到 Delivering 状态 ， 准 备 输 送 油 料 。 激 活 位 于 管 口 的 扳机 ， 油 料 就 会 泵 
出 。 当 扳机 释放 时 油料 输送 就 停止 。( 为 简化 起 见 ， 忽 略 了 为 终止 油料 溢出 而 设计 的 压力 开关 。) 
在 油料 输送 完成 之 后 ， 购 买 者 将 油管 送 回 皮 套 ， 系 统 转移 到 Paying 状态 ， 此 时 油料 所 用 金额 从 
APEPRE, IRL, RRRA Waiting 状态 。 


20.1.2 实时 编程 


用 于 实时 系统 开发 的 程序 语言 必须 包括 能 访问 系统 硬件 的 能 力 ， 而 且 它 要 能 够 预测 语言 中 
的 特别 操作 的 时 序 。 硬 实时 系统 现在 还 仍然 使 用 汇编 语言 来 编程 ， 这 是 因为 ， 只 有 使 用 汇编 语言 
才能 满足 苛刻 的 时 限 要求 。 系 统 级 语言 ， 比 如 C 语言 ， 它 能 生成 高 效 的 代码 ， 所 以 也 是 广泛 使 
用 的 。 l 

使 用 像 C 语言 这 样 的 低级 系统 编程 语言 的 优势 是 ， 它 能 够 开发 出 高 效 的 程序 。 然 而 ， 这 些 
语言 不 包含 支持 并 发 或 资源 共享 管理 的 结构 。 并 行 性 和 资源 管理 是 通过 调用 实时 操作 系统 提供 
的 原 语 实现 的 ， 例 如 互 斥 信号 量 。 而 这 种 对 实时 操作 系统 的 调用 是 不 能 被 编译 器 检查 的 ， 所 以 ， 
很 容易 产生 编程 错误 。 而 且 ， 这 种 程序 通常 也 是 很 难 理解 的 ， 因 为 语言 中 并 不 包含 实时 特征 。 在 
理解 程序 的 同时 ， 读 者 还 要 知道 如 何 使 用 系统 调用 提供 对 实时 性 的 支持 。 

因为 实时 系统 必须 满足 它们 的 时 序 约 束 ， 对 于 硬 实 时 系统 就 不 能 使 用 面向 对 象 的 开发 。 面 
向 对 象 开 发 会 通过 对 象 中 所 定义 的 操作 隐藏 数据 表示 和 访问 的 属性 值 。 这 意味 着 在 面向 对 象 系 
统 中 有 非常 大 的 开销 ， 因 为 需要 额外 的 代码 协调 属性 的 访问 和 处 理 对 操作 的 调用 。 由 此 在 性 能 
上 的 损失 使 之 不 可 能 满足 实时 的 时 限 要 求 。 

已 经 有 了 为 嵌入 式 系统 开发 所 设计 的 Java 版 本 (Dibble，2008 ) 。 不 同 的 公司 ， 如 IBM 和 
Sun， 都 有 其 不 同 的 Java 实现 。 该 语言 包含 了 已 修改 的 线程 机 制 ， 允 许 所 指定 的 线程 不 被 语言 垃 
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圾 收集 机 制 所 中 断 。 也 包括 异步 事件 处 理 机 制 和 时 序 描述 。 然 而 ， 在 写本 书 之 际 ， 该 语言 大 多 用 
于 有 强大 处 理 器 和 存储 能 力 的 平台 (例如 手机 ) ， 而 不 是 仅 有 有 限 资源 的 简单 嵌入 式 系统 。 后 者 
通常 仍 是 用 C 语言 实现 的 。 


Q 实时 Java 


Java 编程 语言 已 经 通过 多 种 方式 改编 为 适应 实时 系统 开发 的 语言 。 这 种 修改 包括 异步 通 
信 ; 加 入 时 间 ， 包 括 绝对 时 间 和 相对 时 间 ; 新 的 不 允许 被 垃圾 回收 中 断 的 线程 模型 ; 一 种 新 
的 能 避免 由 于 垃圾 回收 所 带 来 的 不 可 预知 的 延迟 的 内 存 管 理 模型 。 
http://www. SoftwareEngineering-9. com/Web/RTS/ Java. html 







20.2 体系 结构 模式 


第 6 章 介 绍 的 体系 结构 模式 是 对 好 的 设计 实践 的 抽象 的 格式 化 的 描述 。 它 们 封装 了 系统 体系 
结构 的 组 成 、 什 么 时 候 应 该 使 用 这 些 体 系 结构 ， 以 及 它们 的 优势 与 劣势 。 然 而 ， 我 们 不 应 该 把 体 
系 结构 模式 作为 一 种 通用 的 设计 来 实现 。 而 是 应 该 通过 模式 来 理解 体系 结构 ， 并 作为 创建 自己 
的 专门 的 体系 结构 设计 的 起 点 。 

正如 所 期 待 的 那样 ， 苦 人 式 和 交互 式 软件 的 不 同意 味 着 ， 对 于 嵌 人 式 系统 我 们 需要 使 用 
不 同 的 体系 结构 模式 ， 而 不 是 在 第 6 章 谈论 的 那 种 体系 结构 模式 。 垦 人 式 系统 模式 是 面向 过 
程 的 ， 而 不 是 面向 对 象 或 者 面向 组 件 的 。 在 这 一 节 将 讨论 3 种 经 常 使 用 的 实时 的 体系 结构 
模式 。 

1. 观察 和 反应 ”该 模式 用 于 当 一 组 传感器 周期 性 地 监控 和 显示 的 时 候 。 当 传感器 显示 已 经 
发 生 了 某 个 事件 时 〈 如 电话 来 电 ) ， 作 为 反应 系统 会 启动 一 个 进程 来 处 理 此 事件 。 

2. 环境 控制 ”该 模式 用 于 某 些 系 统 ， 这 些 系统 包括 能 提供 环境 信息 的 传感器 和 改变 环境 的 
执行 器 。 根 据 传感器 检测 到 的 环境 改变 ， 控 制 信号 被 发 送 到 系统 的 执行 器 。 

3. 处 理 管道 ”该 模式 用 于 在 数据 被 处 理 之 前 需要 从 一 种 表示 变换 到 另 一 种 表示 的 时 候 。 变 
换 实现 为 一 系列 可 并 行 执行 的 处 理 步骤 。 由 于 单独 的 核 或 处 理 器 可 以 执行 每 个 变换 ， 因 此 该 模 
式 允 许 非常 快速 的 数据 处 理 。 

当然 这 些 模式 可 以 结合 使 用 ， 并 且 通 常 你 可 以 看 到 在 一 个 系统 中 存在 多 种 模式 。 例 如 ， 
当 使 用 环境 控制 模式 时 ， 非 常 普遍 的 是 对 于 竺 监控 的 执行 器 使 用 观察 反应 模式 。 在 执行 器 失 
” 数 的 事件 中 ， 系 统 可 以 通过 显示 一 条 警告 信息 、 关 闭 执行 器 和 切换 到 备份 系统 等 对 此 事件 做 
出 反应 。 

此 处 讨论 的 模式 是 描述 宜人 式 系 统 的 总 体 结构 的 体系 结构 模式 。Douglass (2002) 描述 了 用 
于 帮助 编程 者 做 更 详细 设计 决策 的 更 低层 的 实时 系统 设计 模式 。 这 些 模式 是 关于 执行 控制 、 通 
信 、 资 源 分 配 和 安全 性 、 可 靠 性 等 方面 的 。 

这 些 体 系 结构 模式 是 嵌入 式 系统 设计 的 起 点 ; 然而 它们 并 不 是 设计 模板 。 如 果 当 成 模板 使 
用 ， 就 会 设计 出 低 效 的 过 程 体系 结构 。 因 此 ， 需 要 优化 过 程 体系 结构 ， 从 而 确保 系统 没有 太 多 的 
过 程 。 我 们 也 应 该 确保 系统 中 的 过 程 、 传 感 器 和 执行 器 之 间 有 一 个 清晰 的 联系 。 


20.2.1 观察 和 反应 


监控 系统 是 谋 入 式 实时 系统 的 一 个 重要 类 别 。 监 控 系统 通过 一 组 传感器 来 检查 它 的 环境 ， 
并 且 通 常 以 某 种 方式 显示 环境 的 状态 。 这 可 以 是 在 内 置 的 屏幕 上 显示 ， 或 者 是 在 特定 仪器 显示 
噩 上 的 显示 或 者 是 远程 显示 。 如 果 系 统 检测 到 异常 事件 或 传感器 状态 ， 监 控 系 统 就 会 采取 某 些 
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行动 。 通 常会 产生 一 个 警报 提醒 操作 员 注 意 所 发 生 的 事件 。 有 时 系统 可 以 启动 一 些 其 他 的 预防 
动作 ， 例 如 关闭 系统 以 阻止 其 受到 损害 。 

观察 和 反应 模式 〈 见 图 20-6 和 图 20-7) 是 常用 于 监控 系统 的 模式 。 观 测 传感器 的 值 ， 当 发 
现 特殊 的 值 时 ， 系 统 以 某 种 方式 做 出 反应 。 监 控 系 统 由 多 个 观察 和 反应 模式 的 实例 组 成 ， 系 统 中 
的 每 种 传感器 都 有 一 个 模式 的 实例 。 依 据 系 统 的 需求 ， 我 们 可 以 通过 合并 进程 来 优化 设计 CÓ 
如 ， 可 以 用 单个 显示 进程 显示 来 自 所 有 不 同类 型 的 传感器 的 信息 ) 。 


观察 和 反应 


对 一 组 相同 类 型 的 传感器 的 输入 值 进 行 收集 和 分 析 。 这 些 值 以 某 种 方式 显示 出 来 。 如 果 传 感 器 
的 值 表示 有 某 个 异常 状况 发 生 ， 那 么 就 会 启动 一 个 行动 来 提醒 操作 员 注 意 ， 在 某 些 情况 下 ， 还 会 
采 到 某 种 行动 来 响应 这 个 异常 什 


连接 到 系统 的 传感器 的 值 

到 显示 器 的 输出 ， 报 警 器 触发 ， 到 反应 系统 的 信号 
观察 者 (Observer) ， 分 析 (Analysis) ， 显 示 (Display), ,警报 (Alarm), ， 反 应 器 (Reactor) 
监控 系统 ， 警 报 系统 























激励 
响应 
进程 
使 用 场合 


























图 20-6 观察 和 反应 模式 





T 其 他 设备 


图 20-7 观察 和 反应 的 进程 结构 


这 里 使 用 该 模式 的 例子 ， 考 虑 一 个 要 安装 在 大 厦 中 的 防盗 报警 系统 的 设计 ， 

准备 实现 一 个 软件 系统 ， 该 软件 系统 是 安装 在 商务 大 履 中 的 防盗 报警 系统 的 一 部 分 。 它 使 
用 多 种 不 同类 型 的 传感器 。 这 些 包括 每 个 房间 中 的 运动 传感器 ， 检 查 走廊 门 开 启 的 门 传感器 ， 安 
装 在 一 楼 的 能 检测 到 窗户 被 破坏 的 窗 传 感 器 。 

当 传 感 器 检测 到 入 侵 者 存在 时 ， 系 统 自 动 呼叫 当地 警察 局 ， 使 用 声音 合成 器 报告 报警 的 位 
置 。 系 统 打开 活动 传感器 周围 的 房间 内 的 灯 ， 并 发 出 声音 警报 。 传 感 器 系统 使 用 主 电源 供电 但 也 
配备 一 个 备用 电池 。 使 用 一 个 单独 的 电力 电路 监视 器 监视 电路 的 电压 从 而 发 现 掉 电 现象 。 在 电 
项 降低 到 某 个 水 平时 触发 报警 系统 。 

图 20-8 显示 了 报警 系统 的 进程 结构 。 图 中 ,箭头 表示 从 一 个 进程 发 送 到 另 -- 个 进程 的 信号 。 
这 个 系统 是 一 个 没有 严格 时 序 要 求 的 “ 软 ” 实 时 系统 。 传 感 器 不 需要 检测 高 速 事件 ， 因 此 相对 
来 说 它们 只 是 偶尔 使 用 。 在 20.3 节 介 绍 该 系统 的 时 序 需求 。 

在 图 20-1 中 已 经 介绍 了 报警 系统 的 激励 和 响应 。 这 些 是 系统 设计 的 起 点 。 在 设计 中 使 用 了 
观察 和 反应 模式 。 存 在 与 每 种 传感器 相关 联 的 观察 者 进程 和 与 每 种 反应 类 型 相关 联 的 反应 者 进 
程 。 还 有 一 个 单个 分 析 进 程 检 查 来 自 于 所 有 传感器 的 数据 。 模 式 中 的 所 有 显示 进程 被 合并 为 一 
个 显示 进程 。 


















控制 板 进程 o 测试 进程 
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图 20-8 防盗 报警 系统 的 进程 结构 


20.2.2 ”环境 控制 


能 人 式 软件 使 用 的 最 为 广泛 的 可 能 是 在 控制 系统 中 。 在 这 些 系统 中 ， 软 件 基 于 来 自 设备 所 
处 的 环境 的 激励 来 控制 设备 的 运行 。 例 如 ， 汽 车 防滑 刹车 系统 监控 汽车 的 轮子 和 刹车 系统 CR 
统 的 环境 ) 。 它 观察 给 以 制 动 压力 时 轮子 打滑 的 信号 。 如 果 是 这 种 情况 ， 系 统 调整 制 动 压力 ， 阻 


止 车 轮 抱 死 ， 从 而 降低 侧 滑 的 可 能 性 。 


控制 系统 会 使 用 环境 控制 模式 ， 即 包含 传感器 进程 和 执行 器 进程 的 通用 控制 模式 。 图 20-9 
描述 了 环境 控制 模式 ， 它 的 进程 体系 结构 如 图 20-10 所 示 。 该 模式 的 一 个 变种 是 省 略 了 显示 进程 
的 体系 结构 。 在 不 要 求 用 户 干预 或 控制 频率 很 高 以 至 于 显示 无 意义 的 情况 下 ， 使 用 此 变种 模式 。 








系统 分 析 来 自 一 组 采集 系统 环境 数据 的 传感器 的 信息 。 进 一 步 的 信息 也 可 能 是 来 自 连接 
到 系统 的 执行 器 的 状态 信息 。 基 于 传感器 和 执行 器 的 数据 ， 传 送 控制 信号 到 执行 器 ， 进 而 
引起 系统 环境 的 改变 。 关 于 传感器 的 值 和 执行 器 的 状态 的 信息 会 显示 出 来 








监控 器 (Monitor), fd 《Control) ， 显 示 (Display) ， 执 行 器 驱动 (Actuator Driver), $h 


行 器 监视 器 (Actuator Monitor) 





图 20-9 ”环境 控制 模式 


这 个 模式 可 以 作为 控制 系统 设计 的 基础 。 基 本 的 做 法 是 针对 每 一 个 控制 执行 器 〈 或 执行 器 


类 型 ) 给 出 一 个 环境 控制 模式 实例 。 
进一步 的 优化 做 法 是 减少 进程 的 数 
量 。 例 如 ， 可 以 合并 执行 器 监控 进 
程 和 执行 器 控制 进程 ， 或 者 对 几 个 
执行 器 使 用 一 个 监控 和 控制 进程。 
选择 的 优化 取决 于 时 序 需求 。 可 能 
监控 传感器 比 发 送 控制 信号 更 频繁 
在 此 情形 下 ,结合 控制 和 监控 进程 
就 是 不 可 行 的 了 。 在 执行 器 控制 和 
执行 器 监控 进程 之 间 也 会 存在 直接 


= 
执行 器 
图 20-10 环境 控制 的 进程 结构 
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反馈 。 这 就 允许 我 们 通过 执行 器 控制 进程 给 出 细 粒 度 的 控制 决策 。 

图 20-11 示意 了 该 模式 是 如 何 使 用 的 。 这 是 一 个 汽车 刹车 系统 控制 器 的 例子 。 设 计 的 起 始点 
是 针对 系统 中 的 每 种 执行 器 类 型 给 出 一 个 模式 实例 。 在 这 儿 有 4 个 执行 器 ， 每 一 个 控制 一 个 车 轮 
上 的 制 动 。 把 单个 传感器 进程 结合 到 一 个 监控 所 有 车 轮 的 车 轮 监控 进程 ， 该 监控 进程 监视 各 个 
车 轮 上 的 传感器 。 传 感 器 进程 监控 每 一 个 车 轮 状 态 ， 判 断 车 轮 是 转动 还 是 抱 死 。 一 个 单独 的 进程 
监视 驾驶 员 踩 刹车 踏板 的 压力 。 


脚 踏 板 压力 传感器 





图 20-11 防滑 制 动 系统 的 控制 系统 体系 结构 


系统 包括 咏 滑 特 征 ， 在 刹车 时 如 果 传 感 器 提示 车 轮 抱 死 则 触发 此 特征 ， 这 意味 着 在 路 面 和 
轮胎 之 间 存 在 着 不 完全 摩擦 力 ; 换 句 话说 ， 车 正在 滑动 。 如 果 轮 子 被 抱 死 ， 司 机 就 不 能 控制 轮 
子 。 为 了 对 抗 这 一 点 ， 系 统 给 此 轮子 的 制动器 发 送 一 个 快 系列 的 开关 信号， 人 允许 轮子 转动 并 且 接 
受 控制 。 


20.2.3 处 理 管道 


许多 实时 系统 主要 是 从 系统 环境 采集 数据 ， 然 后 将 数据 从 原始 数据 表示 转换 成 系统 便于 分 
析 和 处 理 的 数字 表示 。 系 统 也 可 以 将 数字 数据 转换 成 模拟 数据 ， 然 后 发 送 给 它 的 环境 。 例 如 ， 软 
件 收音 机 接受 表示 无 线 电 传播 的 数值 数据 输入 包 ， 并 且 将 这 些 转换 成 人 们 能 听 到 的 声音 信号。 

这 些 系 统 中 ， 数 据 处 理 必 须 得 到 快速 执行 。 和 否则 ， 输 入 数据 可 能 丢失 并 且 输 出 符号 可 能 由 于 
基本 信息 的 丢失 而 被 破坏 。 管 道 处 理 模式 使 得 这 种 快速 处 理 成 为 可 能 。 它 通过 把 所 需要 的 数据 
处 理 分 解 成 一 系列 独立 变换 ， 且 每 个 变换 可 以 由 一 个 独立 的 进程 来 执行 。 这 对 于 使 用 多 重 处 理 
器 和 多 核 处 理 器 的 系统 是 一 个 非常 高 效 的 体系 结构 。 管 道中 每 一 个 进程 被 分 配 到 单独 的 处 理 器 
或 者 核 上 运行 ， 因 此 处 理 步骤 能 并 行 执行 。 

图 20-12 是 对 数据 管道 模式 的 简洁 描述 ， 图 20-13 显示 了 这 个 模式 的 进程 体系 结构 。 注 意 ， 
进程 能 够 产生 和 消费 信息 。 如 同 20. 1 节 讨 论 的 ， 它 们 与 同步 缓冲 区 连接 。 这 就 允许 生产 者 和 消 
费 者 进程 以 不 同 的 速度 工作 而 无 数据 损失 。 

高 速 数 据 采 集 系统 是 使 用 管道 处 理 模式 的 系统 的 一 个 例子 。 数 据 采集 系统 从 传感器 采集 数 
据 ， 然 后 进行 后 续 的 处 理 和 分 析 。 这 些 系统 可 以 用 于 这 样 的 情形 ， 即 传感器 从 系统 环境 中 采集 大 
量 数据 但 不 可 能 或 者 是 没有 必要 进行 实时 处 理 ， 而 是 采集 并 存储 以 便 今后 用 于 分 析 。 数 据 采集 
系统 通常 用 在 科学 实验 和 过 程控 制 系统 中 。 过 程控 制 系统 中 的 物理 过 程 ， 例 如 化 学 反应 ， 是 非常 
快速 的 。 在 这 些 系统 中 ， 传 感 器 快速 生成 数据 ， 数 据 采 集 系 统 需 要 确保 在 传感器 值 改 变 之 前 将 伟 
感 器 的 读数 采集 出 来 。 
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mE 
| 名 *| 处 理 管 首 


处 理 管道 使 得 数据 以 序列 形式 从 管道 的 一 端 移动 到 另 一 端 。 这些 处 理 通常 关联 到 一 些 同 | 
描述 步 缓存 上 ， 人 允许 生产 者 和 消费 者 进程 以 不 同 的 速度 运行 。 标 志 管 道 完成 的 是 显示 或 数据 在 











储 ， 或 者 是 管道 连接 到 一 个 执行 器 | 
激励 输入 来 自 环境 或 者 其 他 进程 的 值 
响应 输出 值 给 环境 或 者 给 一 个 共享 缓存 
进程 。 | 生产 者 (Producer), SEF (Buller), WE (Consumer) | 

















使 用 场合 | 数据 获取 系统 ， 多 媒体 系统 


图 20-12 管道 处 理 模式 


- 


图 20-13 ”处理 管道 模式 的 进程 结构 


图 20-14 是 一 个 作为 核反应 堆 中 控制 软件 一 部 分 的 数据 采集 系统 的 简化 模型 。 这 是 一 个 从 监 
视 反应 堆 中 中 子 通 量 ( 即 中 子 密度 ) 的 传感器 采集 数据 的 系统 。 传 感 器 数据 放置 在 一 个 缓冲 区 
中 ,之 后 数据 从 该 缓冲 区 提取 和 处 理 。 平 均 通 量 水 平 显 示 在 控制 台 显 示 器 上 ， 并 且 存 储 起 来 为 以 
后 处 理 用 。 


中 子 通 量 传感器 








传感器 标识 
符 和 通 量 值 





图 20-14 ”中 子 通 量 数据 获取 


20.3 时序 分 析 


正如 本 章 的 引言 中 所 提 到 的 ， 实 时 系统 的 正确 性 并 不 仅仅 依赖 于 输出 的 正确 性 ， 而 且 还 取 
决 于 产生 输出 的 时 间 。 这 就 意味 着 在 嵌 人 式 实时 软件 开发 过 程 中 的 一 个 重要 方面 是 时 序 分 析 。 
在 这 个 分 析 中 ， 计 算 系 统 中 每 个 进程 的 执行 频率 来 确保 所 有 的 输入 得 到 处 理 并 且 所 有 的 系统 响 
应 及 时 产生 。 时 序 分 析 的 结果 决定 每 个 进程 应 该 执行 的 频率 ， 以 及 实时 操作 系统 应 该 如 何 调度 
这 些 进 程 。 

当 系 统 要 混合 处 理 周期 性 的 和 非 周期 性 的 激励 与 响应 时 ， 实 时 系统 的 时 序 分 析 是 相当 困难 
的 。 由 于 非 周期 性 激励 是 不 可 预测 的 ， 因 此 必须 假设 这 些 激励 发 生 并 因而 在 任何 特定 时 间 要 求 
服务 的 可 能 性 。 这 些 假设 可 能 是 不 正确 的 ， 系 统 性 能 在 系统 交付 后 可 能 不 够 好 。Cooling (2003) 
讨论 了 考虑 非 周期 性 事件 的 实时 系统 性 能 分 析 的 技术 。 

然而 随 着 计算 机 处 理 速度 越 来 越 快 ， 在 许多 系统 中 ， 使 用 周期 性 激励 的 设计 已 成 为 可 能 。 由 
于 处 理 延 迟 通常 给 系统 带 来 某 些 损 失 ， 当 处 理 器 很 慢 的 时 候 ， 就 需要 采用 非 周 期 性 激励 以 确保 
.重要 事件 在 它们 的 时 限 之 前 得 到 处 理 。 例 如 ， 在 馈 入 式 系统 中 电源 供应 失败 意味 着 系统 在 很 短 
的 时 间 内 (50 毫秒 ) 以 一 种 控制 方式 关闭 相关 设备 。 这 可 以 实现 为 “电源 失败 ”中 断 。 然 而 ， 
这 也 可 以 用 一 个 周期 性 进程 来 实现 ， 该 进程 以 非常 快速 的 方式 运行 来 检查 电源 。 只 要 进程 调用 
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之 间 的 时 间 很 短 ， 在 掉 电 引起 损害 之 前 ， 仍 然 有 时 间 执 行 系统 的 控制 性 关闭 。 正 因 如 此 ， 这 里 只 
研究 周期 性 进程 的 时 序 问题 。 

当 分 析 嵌 入 式 实 时 系统 的 时 序 需求 和 设计 系统 满足 这 些 需 求 的 时 候 ， 要 考虑 3 个 主要 因素 : 

1. 时 限 这 是 一 个 时 间 ， 在 此 之 前 激励 必须 得 到 处 理 并 且 响 应 必须 由 系统 产生 。 在 系统 不 
能 满足 时 限 情况 下 ， 如 果 系 统 是 硬 实时 系统 ， 那 么 系统 就 失败 了 ; 如 果 系 统 是 软 实时 系统 ， 那 么 
导致 系统 服务 退化 。 

2. 频率 ”这 是 每 秒 系统 执行 进程 的 次 数 ， 以 确保 你 相信 系统 能 满足 时 限 的 要 求 。 

3. 执行 时 间 ”处 理 激励 并 且 产 生 响 应 的 时 间 。 通 常 ， 需 要 考虑 两 个 执行 时 间 ， 即 进程 平均 
执行 时 间 和 进程 最 坏 情 况 下 执行 时 间 。 由 于 代码 的 条 件 性 执行 以 及 延迟 以 等 待 其 他 进程 等 原因 ， 
执行 时 间 并 不 一 直 是 相同 的 。 在 硬 实时 系统 中 ， 要 做 出 基于 最 坏 情 况 下 执行 时 间 的 假设 来 确保 
时 限 不 会 被 突破 。 在 软 实时 系统 中 ， 你 能 够 基于 平均 执行 时 间 得 到 你 的 计算 结果 。 

接着 用 供电 失败 的 例子 ， 让 我 们 假设 ， 在 发 生 失 败 事件 后 ， 电 压 需要 50 毫秒 的 时 间 降 到 一 
个 能 使 系统 受到 损坏 的 水 平 。 因 此 ， 设 备 关闭 进程 必须 在 断 电 事件 后 的 50 毫秒 以 内 开始 执行 。 
在 这 种 情况 下 ， 由 于 设备 中 的 物理 变数 ， 设 置 40 毫秒 或 更 短 的 时 限 是 递 慎 的 。 这 意味 着 对 所 有 
可 能 面 对 风 险 的 相关 设备 ， 必 须 在 40 毫秒 内 发 出 关闭 指示 并 进行 处 理 。 

如 果 通 过 监视 电压 水 平 检测 电源 失败 ， 那 么 必须 做 多 个 观察 以 检测 电压 正在 下 降 。 如 果 每 
秒 运行 进程 250 次 ， 这 就 意味 着 运行 一 次 要 4 毫秒 ， 且 你 需要 至 少 两 个 周期 来 检测 电压 下 降 。 因 
此 ， 需 要 花费 8 毫秒 来 检测 系统 问题 。 结 果 ， 关 闭 进 程 的 最 坏 情 况 执行 时 间 不 应 该 超过 16 毫秒 
以 确保 满足 40 毫秒 的 时 限 。 这 个 数 是 通过 从 时 限 (40 毫秒 ) 中 减 去 进程 周期 (8 毫秒 ) 然后 除 
以 2， 因 为 执行 两 次 进程 是 必要 的 。 

实际 上 ， 应 该 设法 得 到 一 个 远 低 于 16 毫秒 的 执行 时 间 从 而 留 出 安全 空 阶 以 防 计 算出 错 。 事 
实 上 ， 用 于 检查 传感器 和 检测 没有 电压 大 幅 降低 事件 的 时 间 远 低 于 16 毫秒 。 这 仅仅 是 两 个 电压 
值 的 比较 。 电 源 监 控 进程 的 平均 执行 时 间 应 该 小 于 1 毫秒 。 

在 实时 系统 中 ， 时 序 分 析 的 起 点 是 时 序 需求 ， 时 序 需 求 设 定 了 每 个 所 要 求 的 响应 的 时 限 。 图 
20-15 给 出 了 20.2.1 节 中 介绍 的 商务 大 厦 防盗 报警 系统 的 时 序 需求 。 这 里 对 设计 进行 了 简化 ， 来 
自 系 统 自身 检测 子 程序 的 激励 、 来 自 外 部 的 用 于 对 系统 测试 的 激励 ， 以 及 在 系统 误 发 警报 情况 
下 关 掉 系统 的 激励 都 名 略 了 。 这 样 ， 系 统 就 只 剩 两 类 激励 需要 处 理 了 : 

1. 停电 当 电 压 下 降 超 过 20% 的 时 候 ， 系 统 检测 到 断 电 。 必 需 的 响应 是 将 电路 切换 到 
备用 电源 上 。 由 电子 装置 将 主 电 源 切换 成 备用 电源 。 通 过 向 电子 装置 发 出 信号 来 实现 这 一 
切换 。 

2. 侵入 者 报警 ”这 是 一 个 产生 于 系统 某 个 传感器 的 激励 。 对 这 个 激励 的 响应 是 计算 发 出 异 
常 信息 的 传感器 的 房间 号 码 ， 向 警察 局 发 出 一 个 呼叫 ， 激 活 语音 合成 器 来 报告 详细 信息 ， 同 时 还 
要 拉 响 人 侵 警 报 和 点 亮 事 发 周围 的 灯光 。 

如 图 20-15 所 示 ， 我 们 通常 应 该 单独 对 每 一 类 传感器 列 出 其 时 序 约束 ， 即 使 是 〈 如 这 里 的 情 
X) 它们 都 相同 时 也 是 如 此 。 通 过 对 它们 单独 处 理 ， 就 能 给 未 来 的 改变 留 下 空间 ， 使 得 对 每 秒 
内 控制 进程 所 需要 执行 的 次 数 的 计算 更 容易 。 

接 下 来 的 设计 阶段 是 将 系统 的 功能 分 配 到 并 发 进程 。 有 4 类 传感器 需要 周期 性 地 轮 询 ， 因 
此 ， 这 些 传感器 都 有 一 个 相关 的 进程 。 有 电压 传感器 、 门 传感器 、 窗 传感器 和 运动 检测 器 。 因 为 
一 般 来 讲 和 传感器 相应 的 进程 执行 得 非常 快 ， 它 们 只 负责 核实 传感器 的 状态 是 否 改变 〈 例 如 从 
KIF). 假定 检查 和 评估 一 个 传感器 状态 的 执行 时 间 不 大 于 1 毫秒 是 合理 的 。 

为 了 确保 满足 时 序 需 求 定义 的 时 限 ， 接 下 来 需要 决定 相关 进程 的 运行 频率 ， 以 及 在 进程 每 
一 次 运行 期 间 有 多 少 传感器 需要 被 检测 。 在 频率 和 执行 时 间 之 间 有 一 个 明显 的 权衡 。 
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必须 在 50 ms 时 间 内 完成 向 备用 电源 的 切换 
每 秒 需要 对 每 个 门 警报 器 轮 询 两 次 
每 秒 需要 对 每 个 窗 警报 器 轮 询 两 次 
每 秒 需要 对 每 个 运动 检测 器 轮 询 两 次 
当 有 传感器 发 出 警报 信号 时 ， 声 音 警 报 器 需要 在 0.5 秒 内 打开 
当 有 传感器 发 出 警报 信号 时 ， 照 明 开关 需要 在 0. 5 秒 内 打开 
当 有 传感器 发 出 警报 信号 时 ， 负 警察 局 的 呼叫 应 该 在 2 秒 内 启动 
当 有 传感器 发 出 警报 信号 时 ， 语 音 合成 的 消息 应 该 在 2 秒 内 可 用 
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图 20-15 防盗 报警 系统 的 时 序 需求 


1、 如 果 在 每 个 进程 执行 过 程 中 检测 一 个 传感器 ， 那么 如 果 有 一 个 指定 类 型 的 N MERE, 
则 必须 安排 进程 每 秒 执行 4N 次 以 满足 在 0. 25 秒 内 检测 状态 改变 的 时 限 。 

2. 假定 在 每 个 进程 执行 过 程 中 检测 4 个 传感器 ， 那 么 执行 时 间 增 加 到 4 毫秒 ， 但 是 每 秒 仅 
需要 运行 进程 N 次 来 满足 时 序 需 求 。 

在 此 情形 中 ， 由 于 系统 需求 定义 动作 ， 当 两 个 或 多 个 传感器 是 正 值 时 ， 成 组 地 测试 传感器 是 
合理 的 。 传 感 器 基于 它们 在 物理 位 置 上 的 接近 程度 来 分 组 。 如 果 人 侵 者 进入 大 楼 ， 那 么 可 能 就 会 
有 相 邻 的 几 个 传感器 为 正 值 。 

完成 了 时 序 分 析 之 后 ， 接 下 来 需要 利用 与 执行 频率 和 预期 执行 时 间 相 关 的 信息 给 进程 模型 
做 注释 ( 见 图 20-16)。 此 处 ,周期 性 进程 用 它们 的 频率 注释 ;为 响应 激励 而 启动 的 进程 标记 为 
R; 测试 进程 是 后 台 进 程 ， 标 记 为 B。 这 意味 着 仅仅 当 处 理 器 时 间 空 闲 时 它 才 执行 。 一 般 来 讲 ， 
系统 进程 频率 很 低 的 系统 设计 相对 来 讲 是 更 简单 的 。 执 行 次 数 代表 进程 所 要 求 的 最 坏 情况 下 的 
执行 次 数 。 
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图 20-16 ”报警 进程 时 序 
设计 进程 的 最 后 一 步 是 设计 一 个 调度 系统 ， 以 确保 进程 总 是 能 在 其 时 限 内 得 到 调度 。 只 有 
知道 所 使 用 的 实时 操作 系统 所 支持 的 调度 方法 才能 做 到 这 一 点 (Burns 和 Wellings，2009) 。 实 时 


操作 系统 的 调度 程序 为 进程 分 配 一 个 处 理 器 一 定 的 时 间 。 时 间 能 固定 ， 或 者 依据 进程 的 优先 权 
来 变化 。 
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在 分 配 进 程 优先 权时 ， 要 考虑 每 一 个 进程 的 时 限 以 便 有 短 时 限 的 进程 接收 到 处 理 器 时 间 来 
满足 时 限 。 例 如 ， 在 防盗 报警 系统 中 电压 监控 进程 需要 调度 ， 这 样 电压 下 降 能 被 检测 到 并 且 在 系 
统 失 效 前 切换 到 备用 电源 。 由 于 检查 传感器 值 的 进程 比 起 它们 的 期 待 执行 时 间 有 更 宽松 的 时 限 ， 
因此 比 这 些 进程 电压 监控 进程 有 更 高 的 优先 权 。 


20.4 实时 操作 系统 


大 多 数 应 用 系统 的 执行 平台 是 操作 系统 。 操 作 系统 管理 共享 资源 ， 提 供 如 文件 系统 、 运 行 时 
进程 管理 等 特征 。 然 而 在 常规 操作 系统 中 ， 大 量 功 能 占据 了 许多 空间 并 使 程序 的 运行 变 慢 。 而 
且 ， 系 统 的 进程 管理 特征 的 设计 并 不 允许 进行 细 粒 度 的 进程 调度 控制 。 

正 因 如 此 ， 标 准 的 操作 系统 ， 如 Linux 和 Windows， 通 常 不 用 作 实 时 系统 的 执行 平台 。 非 常 
简单 的 嵌入 式 系统 不 用 操作 系统 ， 而 是 直接 运行 在 硬件 上 。 系 统 自 身 包括 系统 启动 和 关闭 、 进 程 
和 资源 管理 以 及 进程 调度 。 然 而 更 常见 的 是 ， 艇 人 式 应 用 建立 在 实时 操作 系统 (RTOS) 上 。 实 
时 操作 系统 是 一 个 高 效 的 操作 系统 ， 它 提供 了 实时 系统 所 需要 的 各 种 特征 。Windows/CE、Vx- 
works 和 RTLinux 都 是 RTOS 的 实例 。 

实时 操作 系统 为 实时 系统 管理 进程 和 资源 的 分 配 。 它 启动 和 停止 进程 ， 使 得 能 够 处 理 激励 
并 分 配 存储 器 和 处 理 器 资源 给 进程 。RTOS 
的 组 件 〈 见 图 20-17) 依赖 于 所 要 开发 的 实 
时 系统 的 规模 和 复杂 度 。 除 了 最 简单 的 之 
外 ， 所 有 一 般 的 实时 系统 总 是 包括 : 

1. 实时 时 钟 ， 提 供 周 期 性 调度 进程 所 
需 的 信息 ; 

2. 中 断 处 理 器 ， 管 理 非 周期 性 的 对 服 
务 的 请 求 ; 

3. 调度 单元 ， 该 组 件 负责 检查 可 以 执 
行 的 进程 并 选择 其 中 一 个 去 执行 ; 

4. 资源 管理 器 ， 给 定 一 个 经 过 调度 准 
许 执行 的 进程 ， 资 源 管理 器 分 配 相 应 的 内 存 
和 处 理 器 资源 给 进程 ; 

5. 分 派 单元 ， 该 组 件 负责 开始 一 个 进 
程 的 执行 。 执行 进程 

对 于 大 型 系统 的 实时 操作 系统 ， 比 如 过 图 20-17 实时 操作 系统 的 组 件 
程控 制 或 电信 系统 ， 还 会 有 额外 的 设施 ， 如 
磁盘 存储 管理 、 检 测 和 报告 系统 缺陷 的 缺陷 管理 设施 、 支 持 实时 应 用 的 动态 配置 的 管理 器 等 。 


进程 管理 


实时 系统 必须 快速 地 处 理 外 部 事件 ， 在 某 些 情况 下 ， 需 要 在 某 个 时 限 到 来 之 前 处 理 完 这 些 
事件 。 这 意味 着 事件 处 理 进程 必须 及 时 地 得 到 调度 执行 来 检测 事件 ， 并 需要 分 配给 进程 充足 的 
处 理 器 资源 保证 其 在 时 限 之 前 完成 。 在 RTOS 中 的 进程 管理 器 负责 选择 进程 去 执行 ， 分 配 处 理 器 
和 内 存 资 源 ， 并 在 处 理 器 上 启动 和 终止 进程 执行 。 

进程 管理 器 需要 用 不 同 的 优先 级 来 管理 进程 。 对 于 一 些 激励 ， 比 如 那些 与 某 些 异 常事 件 相 
关联 的 激励 ， 对 它们 的 处 理 在 规定 的 时 限 之 内 完成 是 很 重要 的 。 如 果 有 更 紧要 的 进程 要 求 服务 
时 ， 其 他 进程 可 以 安全 地 推迟 。 因 此 ，RTOS 对 于 系统 进程 来 说 ， 必 须 能 管理 至 少 两 个 等 级 的 优 
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先 权 : 

1. 中 断 级 ”这 是 最 高 的 优先 级 层次 。 它 分 派 给 要 求 快速 响应 的 进程 。 实 时 时 钟 进程 就 是 这 
类 进程 。 

2， 时 钟 级 ”这 个 层次 的 优先 级 被 分 派 给 周期 性 的 进程 。 

对 于 后 台 进 程 可 能 有 另外 的 优先 层次 〈 例 如 自 检 进 程 ) ， 这 种 进程 没有 实时 时 间 限 制 。 当 处 
理 器 有 空闲 的 时 候 ， 这 些 进 程 才 得 以 执行 。 

在 每 一 类 优先 级 中 ， 不 同类 型 的 进程 会 分 配 到 不 同 的 优先 顺序 。 举 例 来 说 ， 可 能 有 多 条 中 断 
线 ,为 了 避免 丢失 信息 ,来 自 快速 装置 的 中 断 可 能 会 抢占 来 自 慢 速 装置 的 一 个 中 断 的 处 理 。 进 程 
优先 次 序 的 分 配 ， 可 保证 所 有 的 进程 及 时 得 到 服务 ， 这 总 是 需要 大 量 的 分 析 和 仿真 的 。 

周期 性 进程 是 这 样 一 种 进程 ， 它 在 预先 规定 的 时 间 间 隔 上 执行 数据 采集 和 执行 机 构 控 制 。 
在 绝 大 多 数 实时 系统 中 ， 将 会 有 多 种 类 型 的 周期 性 进程 。RTOS 利用 应 用 程序 所 规定 的 时 序 需 求 
安排 周期 进程 的 执行 ， 以 保证 它们 都 能 在 时 限 到 来 之 前 完成 任务 。 

操作 系统 对 于 周期 性 进程 管理 所 采取 的 行动 如 图 20-18 所 示 。 由 调度 单元 检查 周期 性 进程 列 
表 ， 从 中 选择 一 个 进程 来 执行 。 这 个 选择 取决 于 就 绪 进 程 的 进程 优先 级 、 进 程 耗 时 、 期 望 执行 的 
次 数 以 及 截止 期 限 。 有 时 ， 有 两 个 具有 不 同 的 截止 期 限 的 进程 要 在 一 个 时 钟 节拍 中 执行 。 在 这 种 
情况 下 ， 有 一 个 进程 需要 被 推迟 。 一 般 情 况 下 ， 系 统 会 选择 延迟 有 更 长 时 限 的 进程 。 


资源 管理 者 
在 可 用 处 理 器 
分 配 内 存 和 处 理 器 OMA 


图 20-18 RTOS 启动 进程 所 需要 的 动作 


对 非 同步 事件 的 响应 进程 一 般 都 是 中 断 驱动 的 。 计 算 机 的 中 断 机 制 使 得 控制 被 转移 给 预先 
安排 好 的 一 个 内 存 地 址 。 这 个 地 址 包含 一 条 指令 来 跳 转 到 一 个 简单 而 快速 的 中 断 服务 子 程序 。 
该 服务 子 程序 首先 屏蔽 掉 进 一 步 的 中 断 ， 然 后 找 出 中 断 的 原因 并 以 一 个 高 优先 级 来 启动 一 个 进 
程 去 处 理 产 生 此 中 断 的 激励 。 在 某 些 高 速 数据 采集 系统 中 ， 中 断 处 理 器 将 中 断 信号 所 表示 的 可 
用 数据 存储 在 缓冲 器 中 待 后 续 处 理 。 中 断 被 再 次 激活 并 将 控制 交还 给 操作 系统 。 

在 任何 时 间 里 ， 可 能 有 多 个 进程 会 得 到 执行 ， 每 个 进程 的 优先 级 不 同 。 这 时 就 需要 调度 单元 
实现 系统 调度 策略 决定 这 些 进 程 的 执行 顺序 。 有 两 个 基本 调度 策略 ; 

1. 非 抢占 调度 ”一 旦 一 个 进程 被 调度 执行 ， 就 执行 到 完成 为 止 ， 或 者 是 由 于 某 些 原 因 被 阻 
塞 为 止 ， 例 如 等 待 输入 。 它 的 问题 是 当 有 多 个 不 同 优先 级 的 进程 时 ， 一 个 高 优先 级 的 进程 可 能 需 
要 等 到 一 个 低 优先 级 的 进程 执行 完 才 能 执行 。 

2. 抢占 调度 ” 当 有 更 高 优先 级 的 进程 需要 服务 时 ， 正 在 执行 的 进程 可 能 会 被 终止 。 这 个 高 
优先 级 进程 抢占 低 优先 级 进程 并 被 安排 到 处 理 器 上 执行 。 

在 这 些 策略 中 ， 产 生 了 不 同 的 调度 算法 。 包 括 循环 式 (round-robin) 调度 ， 每 个 进程 轮流 执 
fr; 速度 单调 调度 ， 具 有 最 短 周 期 (最 高 频率 ) 的 进程 被 赋予 优先 权 ;， 最 短 时 限 优先 调度 ， 队 
列 中 进程 具有 最 短 时 限 的 优先 调度 (Burns 和 Wellings, 2009) 。 

被 执行 的 进程 的 信息 传 给 资源 管理 器 。 资 源 管理 器 分 配 存储 器 和 处 理 器 给 进程 ， 在 多 处 
理 器 系统 中 ,需要 选择 一 个 处 理 器 来 执行 该 进程 。 于 是 ， 这 个 进程 被 放 入 “就 绪 列 表 ” 中 ， 
这 是 一 个 包含 一 组 准备 执行 的 进程 的 列表 。 当 处 理 器 执行 完 一 个 进程 处 于 空闲 状态 时 ， 分 派 
单元 被 激活 。 它 扫描 就 绪 列表 以 寻找 一 个 能 在 这 个 处 理 器 上 执行 的 进程 ， 然 后 开始 执行 这 个 
进程 。 















调度 器 
选择 要 执行 的 进程 | 
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要 点 

a 说 入 式 软件 系统 是 对 环境 中 事件 做 出 反应 的 硬件 /软件 系统 的 一 一 部 分 。 软 件 嵌 入 在 硬件 当 
Po MARRS HME KBE. 

a 实时 系统 是 一 个 必须 实时 地 对 事件 做 出 响应 的 软件 系统 。 它 的 正确 性 不 仅仅 依赖 于 所 产生 
的 结果 ， 而 且 依 赖 于 产生 这 些 结果 所 花 的 时 间 。 

m 实时 系统 通常 实现 为 一 组 对 激励 做 出 反应 以 产生 响应 的 互相 关联 的 过 程 。 

n 状态 模型 是 嵌 人 式 实 时 系统 的 一 种 重要 的 设计 表达 。 系 统 如 何 对 环境 做 出 反应 用 事件 触发 
系统 状态 的 改变 来 描述 。 

m 在 不 同类 型 的 嵌入 式 系统 中 可 以 观察 到 多 个 标准 的 模式 。 它 们 包括 监控 系统 环境 中 不 利 事 
件 的 模式 、 执 行 器 控制 模式 和 数据 处 理 模 式 。 

E 实时 系统 的 设计 者 一 定 要 进行 时 序 分 析 ， 它 是 由 处 理 和 响应 激励 的 时 限 驱动 的 。 设 计 者 必 
须 做 出 决策 关于 系统 中 的 进程 应 该 以 什么 频 度 执行 以 及 期 待 的 和 最 坏 的 进程 执行 时 间 。 
m 实时 操作 系统 负责 对 进程 和 资源 的 管理 。 它 总 是 包括 一 个 调度 单元 ， 这 个 组 件 负责 决定 哪 

个 进程 应 该 得 到 执行 。 


进一步 阅读 材料 

(Software Engineering for Real-time Systems》 从 工程 的 视角 而 不 是 从 计算 机 科学 的 视角 撰写 ， 
是 一 本 非常 好 的 实时 系统 工程 的 实践 指导 读物 。 与 Bums 和 Wellings 的 书 相 比 ， 该 书 对 硬件 问题 
的 覆盖 面 更 广 ， 所 以 该 书 是 前 者 的 非常 棒 的 补充 读物 (J. Cooling, Addison-Wesley, 2003), 

(Real-time Systems and Programming Language: Ada, Real-time Java and C/Real-time POSIX , 4td 
edition) 这 是 一 本 全 面 论述 实 时 系统 各 个 方面 的 好 教材 (A. Bums and A. Wellings, Addison-Wes- 
ley, 2009) , 

(Trends in Embedded Software Engineering) 这 是 一 篇 关于 建议 模型 驱动 开发 的 论文 (如 第 5 
章 中 所 讨论 的 ) ， 它 将 成 为 一 个 非常 重要 的 能 人 式 系统 开发 方法 。 该 文 是 嵌 人 式 系统 专辑 中 的 一 
部 分 ， 你 也 可 以 发 现 其 中 还 有 其 他 一 些 论文 也 是 很 不 错 的 材料 。 (IEEE Software, 26 (3), May- 
June 2009) , http: //dx. doi. org/ 10. 1109/MS. 2009. 80, 


练习 

20.1 用 例子 解释 为 什么 实时 系统 通常 需要 使 用 并 发 进程 来 实现 。 

20.2 识别 出 在 家 用 冰箱 或 家 用 洗衣 机 中 的 嵌入 式 系统 的 可 能 的 激励 和 响应 。 

20.3 ”使 用 基于 状态 的 方法 去 建 模 ， 如 在 20. 1. 1 节 中 讨论 过 的 ， 为 有 线 电 话 中 的 语音 邮件 系统 的 媒人 式 软 
件 系统 的 控制 建 模 。 应 该 在 LED 上 显示 记录 的 消息 的 数量 ， 应 该 允许 用 户 按 人 并 接听 记录 的 消 息 。 

20.4 解释 为 什么 面向 对 象 软件 开发 方法 可 能 不 适合 实时 系统 的 开发 。 

20.5 给 出 如 何 使 用 环境 控制 模式 作为 温室 温度 控制 系统 的 设计 基础 。 温 度 应 该 在 10 ~30 和 之 间 。 如 果 温 
度 低 于 10% ， 就 应 该 将 供 暧 系统 打开 ; 如 果 温 度 超过 30% ， 窗 户 就 应 该 自动 打开 。 

20.6 设计 一 个 环境 监控 系统 的 进程 的 体系 结构 ， 该 系统 从 一 组 安装 在 城市 周围 的 空气 质量 传感器 收集 数 
据 。5000 个 传感器 被 分 成 100 组 。 每 个 传感器 每 秒 要 被 查询 4 次 。 当 某 一 区 域 超过 30% 的 传感器 指 
示 空 气质 量 低 于 一 个 可 接受 的 水 平时 ， 局 部 警告 灯 就 被 打开 。 所 有 传感器 将 数据 返 回 给 中 央 处 理 计 
算 机 ， 这 全 计算 机 每 15 分 钟 产生 一 次 该 城市 的 空气 质量 报告 。 

20.7 一 个 火车 保护 系统 自动 地 在 达到 某 个 路 段 速 度 限制 或 某 一 路 段 当 前 有 红 灯 显 示 (该 路 段 不 得 进入) 
时 对 火车 实行 制 动 。 细 节 内 容 如 图 20-19 所 示 。 写 出 火车 上 控制 系统 要 处 理 的 激励 以 及 相关 的 响应 。 
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火车 保护 系统 

n 系统 需要 从 轨道 旁 的 发 送 装 置 中 传 出 关于 路 段 时 速 限制 的 信息 ， 这 个 发 送 装置 连续 不 断 地 广播 路 段 标识 和 
该 路 段 时 速 限制 以 及 该 路 段 信号 状态 。 需 要 50 毫秒 广播 一 次 。 

火车 在 进入 发 送 装 置 10 米 范围 之 内 时 能 接收 到 信息 。 

= 火车 最 大 时 速 为 180 km/h. 

火车 传 感 铝 提 供 火车 的 当前 速度 《每 250 毫秒 更 新 一 次 ) 和 火车 制 动 状态 (100 毫秒 更 新 一 次 ) 信息 。 ， 

a 当 火 车 时 速 超 过 路 段 速度 限制 kmh 以 上 机 车 驾驶 室 的 警报 就 会 响起 。 当 超过 路 段 时 速 限制 10km/h 以 上 
时 制 动 系统 自动 开始 工作 直到 将 速度 降低 到 路 段 速度 限制 之 内 。 制 动 系统 的 执行 要 在 100 毫秒 之 内 开始 。 

n 当 火 车 进入 红 灯 路 段 时 火车 保护 系统 自动 启动 制 动 系统 直到 火车 停 下 来 。 制 动 系统 应 该 在 接 到 红 灯 信 号 100 
毫秒 内 开始 工作 。 

" 系统 连续 更 新 驾驶 室内 的 状态 显示 。 











图 20-19 火车 保护 系统 的 需求 


20.8 为 练习 20.7 中 的 系统 绘制 出 一 个 可 能 的 进程 体系 结构 。 
20.9 ”在 火车 保护 系统 中 ， 要 有 一 个 用 来 收集 从 轨道 旁 发 送 装置 中 发 送 的 信息 的 一 个 循环 过 程 ， 这 个 循环 
过 程 需 要 什么 样 的 执行 频 度 才 能 确保 系统 能 收集 到 从 传送 装置 发 来 的 信息 ? 解释 如 何 实现 你 的 答案 。 
20.10 ”为 什么 通用 目的 操作 系统 ， 例 如 Linux 或 Windows， 不 适合 作为 实时 系统 平台 ? 利用 你 使 用 通用 目 
的 系统 的 经 验 来 帮助 回答 此 问题 。 
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目标 

本 章 的 目标 是 介绍 面向 方面 的 软件 开发 。 面 向 方面 的 软件 开发 将 关注 点 分 散 到 独立 系统 模 
块 。 当 你 阅读 完 本 章 ， 你 将 了 解 到 以 下 内 容 : 

a 为 什么 关注 点 的 分 离 对 软件 开发 是 个 很 好 的 指导 原则 ; 

s 介绍 方面 和 面向 方面 软件 开发 背后 的 基本 思想 ; 

m 理解 面向 方面 的 方法 怎样 在 需求 工程 、 软 件 设计 和 编程 中 应 用 ; 

m 了 解 面向 方面 的 系统 测试 中 的 困难 。 


在 绝 大 多 数 大 系统 中 ， 需 求 和 程序 组 件 之 间 的 关系 是 复杂 的 。 单 个 需求 可 能 是 通过 很 多 组 
件 实现 的 ， 每 个 组 件 可 能 包含 几 个 需求 的 要 素 。 这 意味 着 ， 在 实践 中 ， 实 现 对 需求 的 一 个 变更 可 
能 需要 了 解 和 改变 若干 组 件 。 换 句 话说， 一 个 组 件 可 以 提供 某 些 核 心 功能 ， 但 也 包含 实现 多 个 系 
统 需求 的 代码 。 即 使 看 来 存在 巨大 的 复 用 的 可 能 性 ， 复 用 这 样 的 组 件 的 成 本 也 会 是 非常 昂贵 的 。 
复 用 会 涉及 修改 组 件 以 删除 其 中 与 组 件 的 核心 功能 不 相关 的 额外 代码 。 

面向 方面 的 软件 工程 (Aspect-Oriented Software Engineering，AOSE) ， 是 一 种 骨 在 解决 这 个 问 
题 并 使 程序 易于 维护 和 复 用 的 软件 开发 方法 。AOSE 基于 一 种 称 为 方面 的 抽象 。 方 面 实现 那些 可 
能 在 程序 中 若干 个 不 同 地 方 用 到 的 系统 功能 。 方 面 封装 功能 ， 这 些 功能 与 系统 中 包含 的 其 他 功 
能 交叉 和 共存 ， 是 和 其 他 的 抽象 〈 如 ， 对 象 和 方法 ) 一 起 使 用 的 。 一 个 可 执行 的 面向 方面 的 程 
序 是 根据 包含 在 程序 源 代码 中 的 描述 ， 通 过 自动 组 合 〈 或 称 为 编织 ) 对 象 、 方 法 和 方面 而 创建 
出 来 的 。 

方面 的 一 个 最 主要 的 特性 是 它们 包含 一 个 定义 ， 规 定 应 该 在 程序 的 什么 地 方 包括 它们 ， 同 
时 也 包含 实现 横 切 关注 点 的 代码 。 这 样 你 就 可 以 指定 应 该 在 一 个 特定 方法 调用 之 前 或 之 后 或 在 
对 某 个 属性 访问 之 时 包含 横 切 代码 。 本 质 上 讲 ， 方 面 通 过 编织 到 核心 程序 中 来 创建 一 个 新 的 增 
强 的 系统 。 

面向 方面 方法 的 最 主要 的 好 处 是 它 支持 关注 点 的 分 离 。 如 21. 1 节 中 解释 的 ， 较 之 将 不 同 的 
关注 点 堆积 在 同一 个 逻辑 抽象 中 ， 将 关注 点 分 离 到 独立 的 要 素 中 是 一 种 好 的 软件 设计 实践 。 通 
过 把 横 切 关注 点 表示 为 方面 ， 这 些 关 注 点 就 能 够 被 独立 地 理解 、 复 用 和 修改 ， 而 不 用 关心 代码 在 
何 处 使 用 。 例 如 ， 假 设 用 户 认证 可 以 表示 为 一 个 要 求 登 录用 户 名 和 口令 的 方面 。 这 能 够 自动 地 编 
织 到 程序 中 ， 只 要 是 要 求 用 户 认证 的 地 方 ， 无 论 哪里 都 可 以 使 用 它 。 

比如 有 一 个 需求 ,需要 在 数据 库 中 任何 个 人 详细 资料 发 生 改 变 之 前 对 用 户 进行 身份 认证 。 
我 们 可 以 通过 一 个 声明 在 方面 中 描述 这 项 需求 ， 声 明 为 : 应 该 在 每 个 对 个 人 详细 资料 更 新 的 方 
法 调用 之 前 将 认证 代码 包含 进去 。 这 样 ， 我 们 就 可 以 扩展 认证 需求 到 所 有 的 数据 更 新 。 这 可 以 通 
过 修改 方面 很 容易 地 实现 。 我 们 无 需 在 整个 系统 中 搜索 来 寻找 所 有 发 生 这 些 方法 调用 的 地 方 。 
因此 我 们 可 以 减少 犯错 误 的 机 会 和 意外 地 把 安全 脆弱 性 带 入 程序 的 可 能 。 

面向 方面 的 研究 和 开发 主要 集中 于 面向 方面 的 编程 。 面 向 方面 的 编程 语言 ， 例 如 Aspect] 
(Colyer 和 Clement, 2005; Colyer 等 ，2005 ; Kiczales 等 , 2001; Laddad 2003a, Laddad 2003b ) 已 
经 开发 出 来 ， 它 们 是 对 面向 对 象 编程 语言 的 扩展 使 之 包含 了 方面 的 特征 。 一 些 主要 的 大 型 公司 
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已 经 开始 在 它们 的 软件 生产 过 程 中 使 用 面向 方面 的 编程 (Colyer 和 Clement, 2005) 。 但 是 ， 横 切 
关注 点 在 软件 开发 的 其 他 阶段 同样 是 存在 问题 的 。 研究 人 员 正 在 研究 怎样 在 系统 需求 工程 和 系 
统 设 计 中 利用 面向 方面 技术 ， 如 何 测试 和 检验 面向 方面 的 程序 。 

在 此 讨论 AOSE， 是 因为 它 的 核心 内 容 分 离 关注 点 ， 是 思考 和 构建 软件 系统 的 重要 
法 。 尽 管 一 些 大 型 系统 是 用 面向 方面 的 方法 实现 的 ， 方 面 的 使 用 仍然 不 属于 主流 软件 工程 范畴 。 
和 其 他 新 技术 一 样 ， 比 起 存在 的 问题 和 花费 ， 提 倡 者 更 关注 其 优势 。 尽 管 AOSE 要 在 软件 工程 中 
与 其 他 方法 一 起 常规 性 使 用 还 需要 一 定 的 时 间 ，AOSE 中 包含 的 关注 点 分 离 思想 是 很 重要 的 。 关 
注 点 分 离 思想 是 软件 工程 中 一 个 好 的 通用 方法 。 

所 以 在 本 章 剩 下 的 各 节 中 ， 关 注 一 些 AOSE 的 概念， 并 讨论 在 软件 开发 过 程 的 不 同 阶段 使 用 
面向 方面 方法 的 优势 和 劣势 。 因 为 目标 是 帮助 读者 理解 AOSE 深层 的 概念 ， 所 以 不 会 具体 讨论 任 
何 特定 的 方法 和 面向 方面 的 编程 语言 。 


21.1 关注 点 分 离 


关注 点 分 离 是 软件 设计 和 实现 中 的 一 个 重要 原则 。 它 意味 着 你 应 该 这 样 组 织 你 的 软件 ， 使 
得 程序 中 的 每 个 元 素 (类 、 方 法 、 过 程 等 ) 做 且 只 做 一 件 事 。 kA 
元 素 上 而 无 需 考虑 程序 中 的 其 他 元 素 。 你 可 以 通过 了 解 其 关注 点 来 了 解 程序 的 每 个 部 分 ， 而 天 
需 了 解 其 他 元 素 。 当 需要 进行 某 些 改变 时 ， 变 更 只 局 限 在 少数 的 元 素 上 。 

分 离 关注 点 的 重要 性 在 计算 机 科学 历史 的 很 早 阶段 就 被 人 们 认识 到 了 。 封 装 一 个 最 小 功能 
的 子 程序 在 20 世纪 50 年 代 早期 就 发 明了 ， 随 后 的 程序 构造 机 制 ， 例 如 程序 和 对 象 类 ， 也 设计 用 
来 为 实现 分 离 关注 点 提供 更 好 的 机 制 。 但 是 ， 所 有 这 些 机 制 在 处 理 某 些 类 型 关注 点 上 都 存在 间 
题 ， 这 种 关注 点 模 贯 其 他 关注 点 ， 我 们 称 之 为 横 切 关注 点 (cross-cutting concern) 。 这 种 横 切 关注 
点 不 能 使 用 例如 对 象 或 函数 等 构造 机 制 被 局 部 化 。 于 是 人 们 发 明了 方面 的 概念 以 帮助 管理 这 类 
关注 点 。 

虽然 人 们 已 经 普遍 赞同 分 离 关注 点 是 个 很 好 的 软件 工程 实践 ， 但 清楚 地 界定 关注 点 的 真正 
内 涵 是 很 难 的 。 有 时 ， 它 被 定义 为 一 个 功能 概念 比如， 关注 点 是 系统 中 的 某 些 功 能 要 素 )。 同 
样 的 ， 它 也 可 以 被 定义 得 非常 宽泛 ， 如 定义 它 是 “程序 中 任意 一 块 兴趣 点 或 焦点 片段 "。 这 两 个 
定义 都 不 是 很 用。 关注 点 肯定 不 仅仅 是 简单 的 功能 元 素 ， 但 更 通用 的 定义 又 太 含糊 以 至 于 无 
实用 价值 。 

在 作者 看 来 ， 绝 大 多 数 定义 关注 点 的 尝试 是 存在 问题 的 ， 因 为 它们 试图 将 关注 点 与 程序 相 
关联 。 实 际 上 ， 就 像 Jacobsen 和 Ng (2004) 所 论述 的 ， 关 注 点 是 系统 信息 持 有 者 对 系统 需求 和 
优先 权 的 真实 反映 。 系 统 性 能 可 以 是 一 个 关注 点 ， 因 为 使 用 者 希望 能 够 得 到 系统 的 及 时 响应 ， 基 
些 项 目 信息 持 有 者 可 能 关心 的 是 系统 应 该 包括 某 特殊 功能 ;对 系统 提供 技术 支持 的 公司 ， 可 能 
关注 的 是 系统 能 够 很 容易 地 维护 。 因 此 ， 关 注 点 可 以 定义 为 一 个 或 一 组 项 目 信 息 持 有 者 感 兴 趣 
的 或 者 对 他 们 意义 重大 的 事情 。 

如 果 把 关注 点 看 做 是 组 织 需求 的 一 种 方式 ， 我 们 可 以 看 出 为 什么 将 关注 点 分 离 实现 在 不 同 
的 程序 元 素 中 的 方法 是 个 很 好 的 实践 。 当 用 关注 点 来 表示 一 个 需求 或 一 组 相关 需求 的 时 候 ， 我 
们 就 可 以 很 容易 在 实现 这 些 关注 点 的 程序 组 件 中 跟踪 和 需求。 如果 需 求 改变 了 ， 程序 的 必须 改变 
的 部 分 是 明显 的 。 

下 面 是 多 种 不 同 的 信息 持 有 者 关注 点 : 

l. 功能 性 关注 点 ， 它 是 将 包含 在 系统 中 的 与 特殊 功能 相关 的 关注 点 。 例 如 ， 在 火车 控制 系 
统 中 ， 一 个 特殊 的 功能 性 关注 点 是 火车 制 动 。 

2. 服务 质量 关注 点 ， 它 是 与 系统 的 非 功 能 性 行为 相关 的 关注 点 。 这 些 包 括 性 能 、 可 靠 人 性 、 
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可 用 性 等 特征 。 

3. 政策 关注 点 ， 这 是 与 管理 系统 使 用 的 总 的 政策 相关 的 关注 点 。 政 策 关注 点 包括 信息 安全 
关注 点 、 安 全 关注 点 以 及 业务 规则 相关 的 关注 点 。 

4. 系统 关注 点 ， 这 是 与 系统 总 体 属性 相关 的 关注 点 ， 例 如 它 的 可 维护 性 和 可 配置 能 力 。 

5. 机 构 关注 点 ， 这 是 与 机 构 的 目标 和 优先 级 相关 的 关注 点 ， 例 如 在 预算 范围 内 完成 系统 构 
建 ， 对 现存 的 软件 资产 的 利用 ， 或 者 是 维持 机 构 声誉。 

系统 的 核心 关注 点 是 那些 关系 到 它 的 主要 目标 的 功能 性 关注 点 。 因 此 ， 对 于 一 个 医院 病人 
信息 系统 来 说 ， 核 心 功能 性 关注 点 是 创建 、 编 辑 、 检 索 和 管理 病人 的 记录 。 除 了 这 些 核心 关注 点 
外 ， 大 型 系统 还 有 第 二 类 的 功能 性 关注 点 。 这 些 包括 与 核心 关注 点 共享 信息 的 功能 ， 满 足 其 非 功 
能 性 需求 所 需要 的 功能 等 。 

举 个 例子 ， 考 虑 有 这 样 的 一 个 系统 ， 它 的 一 个 需求 是 提供 对 共享 缓存 的 并 发 访问 。 一 个 进程 
向 缓存 中 输入 数据 ， 另 一 个 进程 从 同一 个 缓存 读 取 数据 。 此 共享 缓存 是 数据 获取 系统 的 一 部 分 ， 
生产 者 进程 将 数据 放 和 共享 缓存 ， 消 费 者 进程 从 中 将 数据 取 走 。 在 这 里 核心 关注 点 是 维护 一 个 
共享 缓存 ， 所 以 核心 功能 是 向 缓存 添加 和 从 缓存 删除 元 素 。 但 是 ， 要 确保 生产 者 进程 和 消费 者 进 
程 不 相互 干扰 ， 必 须要 有 一 个 第 二 类 的 同步 关注 点 。 系 统 设计 需要 保证 生产 者 进程 在 数据 还 没 
有 消费 之 前 不 能 重 写 它 ， 消 费 者 进程 不 能 从 空 缓存 中 提取 数据 。 

除了 这 些 第 二 类 关注 点 外 ， 其 他 的 关注 点 如 服务 质量 关注 点 和 机 构 政策 关注 点 反映 的 是 基 
本 的 系统 需求 。 一 般 来 讲 ， 这 些 关注 点 是 系统 关注 点 一 一 它们 作用 于 整个 系统 而 不 是 作用 于 音 
个 需求 或 者 是 对 这 些 需 求 的 程序 实现 。 我 们 为 了 和 核心 关注 点 相 区 别 ， 称 这 些 为 横 切 关注 点 。 第 
二 类 功能 性 关注 点 也 可 能 是 模 切 关注 点 ， 虽 然 它们 不 总 是 横贯 整个 系统 ， 更 确切 地 说 ， 它 们 关联 
于 能 提供 若干 相关 功能 的 一 组 核心 关注 点 。 

横 切 关注 点 如 图 21-1 所 示 , 此 图 基于 一 个 网 上 银行 系统 的 例子 。 此 系统 有 一 些 针对 新 客户 的 
需求 ， 如 信用 审查 和 地 址 检验 。 它 也 有 关 “i 
于 已 经 存在 的 客户 的 管理 方面 的 和 客户 账 
户 管理 方面 的 需求 。 所 有 这 些 都 是 核心 关 
注 点 ， 因 为 它们 都 和 系统 的 主要 目标 相关 NIREA 
(提供 网 上 银行 服务 ) 。 但 是 ， 此 系统 也 
有 根据 银行 信息 安全 政策 的 信息 安全 需 
求 ， 以 及 能 够 确保 在 系统 失败 时 数据 不 至 
于 丢失 的 恢复 需求 。 这 些 是 模 切 关注 点 ， HOREA 
因为 它们 会 影响 系统 所 有 其 他 需求 的 — mm 
实现 。 

编程 语言 抽象 ， 如 子 程序 和 类 是 通常 用 于 组 织 和 构造 系统 核心 关注 点 的 机 制 。 但 是 ， 在 传统 
的 编程 语言 中 ， 核 心 关注 点 的 实现 总 是 包含 额外 的 代码 来 实现 横 切 关注 点 ， 功 能 性 关注 点 、 服 务 
质量 关注 点 和 政策 关注 点 。 这 导致 了 两 种 不 希望 出 现 的 现象 一 混乱 和 分 散 。 

当 系统 中 的 某 个 模块 包含 实现 不 同系 统 需 求 的 代码 时 混乱 状态 就 出 现 了 。 图 21-2 的 例子 是 
一 个 有 界 缓存 系统 的 部 分 简化 了 的 实现 代码 ， 能 说 明 这 个 现象 。 图 21-2 实现 了 向 缓存 中 添加 一 
项 的 输入 操作 。 但 是 ， 当 缓存 是 满 的 ， 此 算法 必须 等 待 直 至 对 应 的 读 取 操作 从 缓冲 中 移 除 一 项 。 
细节 并 不 重要 ， 本 质问 题 是 使 用 了 wait O 和 notify O 调用 来 同步 输入 和 读 取 操 作 的 。 支 持 主 
要 关注 点 〈 在 此 情景 中 ， 是 把 记录 放 人 和 缓存) 的 代码 ， 与 实现 同步 的 代码 纠缠 在 一 起 。 与 保证 
互 斥 的 第 二 类 关注 点 相关 联 的 同步 代码 需要 包含 在 所 有 访问 共享 缓存 的 方法 中 。 关 联 于 同步 关 
注 点 的 代码 如 图 21-2 中 的 阴影 代码 所 示 。 
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synchronized void put (SensorRecord rec ) 


11 检查 缓冲 中 是 否 有 空间 ; 若 无 则 等 待 
if ( number0fEntries 一 bufsize) 
wait () ; 
// 向 缓冲 末尾 添加 记录 
store [back] - rd SensorRecord (rec.sensorlId, rec.sensorVal) : 
back = back + 
// "rome 则 下 一 条 记录 存储 在 缓冲 的 开始 
if (back = bufsize) 
back = 0; 
numberOfEntries = numberOfEntries + 1 ; 
// indicate that buffer is available 
notify () ; 
) // put 





图 21-2 ”缓存 管理 和 同步 代码 间 的 混乱 


分 散 现象 发 生 在 对 一 单纯 关注 点 (一 个 逻辑 需求 或 一 组 需求 ) 的 实现 分 散在 多 个 程序 组 
件 中 的 时 候 。 在 需求 实现 与 第 二 类 功能 性 关注 点 或 政策 性 关注 点 有 关联 的 时 候 容易 发 生 此 类 
现象 。 

举例 来 说 ， 假 设 某 医 疗 记录 管理 系统 ， 如 MHC - PMS， 由 多 个 组 件 构 成 ， 它 们 分 别 是 有 关 
管理 个 人 信息 、 用 药 、 会 诊 、 医 学 图 像 ， 诊 断 和 治疗 的 组 件 ， 这 些 组 件 实现 了 系统 的 核心 关注 
点 : 维护 病人 的 记录 。 可 以 通过 选择 那些 适合 诊所 的 功能 性 需求 的 组 件 ， 配 置 为 不 同类 型 的 诊所 
使 用 的 系统 。 

但 是 ， 设 想 还 有 一 个 重要 的 第 二 类 关注 点 ， 它 是 维护 统计 信息 。 医 院 希 望 能 够 记录 一 些 详细 
的 统计 信息 ， 包 括 每 月 接纳 多 少 病人 和 出 院 多 少 病 人 ， 有 多 少 病人 死亡 ， 开 出 多 少 药物 ， 会 诊 的 
原因 ， 等 等 。 这 些 需 求 的 实现 要 添加 能 够 使 数据 匿名 化 的 代码 (维护 病人 的 隐私 ) ， 并 将 其 写 人 
统计 数据 库 。 统 计 组 件 处 理 统计 数据 并 产生 需要 的 统计 报告 

图 21-3 是 对 它 的 说 明 。 这 个 图 给 出 了 可 能 包含 在 病人 记录 系统 中 的 3 个 类 的 例子 以 及 其 中 
的 管理 病人 信息 的 一 些 核心 方法 。 阴 影 区 域 中 的 方法 是 实现 第 二 类 统计 关注 点 所 需要 的 方法 。 
你 可 以 看 出 这 个 统计 关注 点 分 散在 其 他 的 核心 关注 点 中 了 。 


«attribute deds> 


getName (0 getModality () 
editName () archive () 

getDate () 
editDate () 





















Consultation 
«attribute decls> 


makeAppoint () 
cancelAppoint () 


getAddress () 
editAddress () 


assignNurse () 
bookEquip () 





anonymize 0 


saveDiagnosis 0 
saveType 0 


anonymize 0 
saveConsult () 





图 21-3 ”实现 第 二 类 关注 点 方法 的 分 散 


当初 始 系统 需求 发 生 改 变 时 分 散 和 混乱 的 问题 就 出 现 了 。 例 如 ， 假 定 病人 记录 系统 需要 收 
集 新 的 统计 数据 。 对 系统 的 改变 不 是 局 限 在 一 个 地 方 ， 所 以 我 们 不 得 不 花 时 间 来 寻找 系统 中 的 
那些 需要 改变 的 组 件 。 接 着 ,就 要 修改 每 个 组 件 来 适应 需求 的 改变 。 分 析 组 件 以 及 完成 测试 这 些 
改变 需要 一 定 的 时 间 ， 因 此 这 可 能 要 付出 很 高 的 代价 。 总 有 可 能 漏 掉 了 一 些 需 要 修改 的 代码 使 
得 统计 数据 不 正确 。 此 外 ， 因 为 需要 做 出 很 多 改变 ， 这 增加 了 人 为 出 错 和 在 软件 中 导 人 错误 的 
机 会 。 
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21.2 方面 、 连 接点 和 切入 点 

本 节 将 介绍 和 面向 方面 软件 开发 相关 的 大 部 分 重要 的 新 概念 ， 并 用 MHC-PMS 的 例子 来 说 明 
它们 。 所 用 的 这 些 术语 是 由 Aspect] 的 开发 者 在 20 世纪 90 年 代 末 引入 的 。 但是， 这 些 概念 是 通 
用 的 ， 并 不 是 Aspect] 语言 所 特有 的 。 图 21-4 汇总 了 读者 需要 了 人 解 的 一 些 关键 术语 。 




















实现 关注 点 的 代码 
定义 横 切 关注 点 的 程序 抽象 。 它 包括 对 切 人 点 的 定义 和 与 关注 点 关联 的 建议 的 定义 
在 执行 程序 过 程 中 的 一 个 事件 ， 在 此 处 会 有 与 方面 相关 联 的 建议 的 执行 
在 切入 点 中 可 能 引用 的 事件 的 集合 
在 方面 中 包 食 的 一 个 语句 ,定义 了 连接 点 ， 在 此 相关 的 方面 的 建议 应 该 得 到 执行 
通过 方面 编织 器 将 建议 代码 合并 在 指定 的 连接 点 处 































图 21-4 面向 方面 软件 工程 中 使 用 的 术语 


医疗 记录 管理 系统 ， 如 MHC-PMS， 包 括 多 个 不 同 的 组 件 ， 它 们 分 别处 理 膛 辑 相关 的 病人 信 
息 。 病 人 组 件 维护 病人 的 个 人 信息 ， 药 物 组 件 保存 可 能 开 出 的 药物 信息 ， 等 等 。 通 过 基于 组 件 的 
方法 设计 此 系统 ， 可 以 配置 系统 的 不 同 实例 。 比 如 ， 对 每 个 诊所 类 型 可 以 配置 这 样 的 一 个 版 本 ， 
放生 只 允许 开 与 本 诊所 有 关 的 药物 处 方 。 这 使 得 诊所 人 员 的 工作 简化 ,减少 了 医生 开销 药方 的 
机 会 。 

但 是 ， 这 样 组 织 就 意味 着 数据 库 中 的 信息 必须 从 系统 中 许多 不 同 的 地 方 更 新 ， 比 如 病人 的 
信息 修改 可 能 发 生 在 以 下 几 种 情形 下 : 个 人 详细 信息 更 改 的 时 候 ， 也 可 能 发 生 在 他 们 所 使 用 的 
药物 改变 的 时 候 ， 或 者 是 发 生 在 给 他 们 指派 新 医生 的 时 候 。 为 简单 起 见 ， 假 设 系统 中 的 所 有 组 件 
使 用 一 致 的 命名 规则 ， 所 有 数据 更 新 实现 为 一 些 以 “update” 开 头 的 方法 。 因 此 系统 中 的 方法 如 
下 所 示 : 


updatePersonallnformation (patientld, infoupdate) 


updateMedication (patientId, medicationupdate) 


病人 通过 病人 标识 patientId 来 识别 ， 变 更 封装 在 第 二 个 参数 中 ， 变 更 的 编码 细节 对 此 例 并 不 
重要 。 登 录 系 统 的 医院 工作 人 员 负 责 更 新 信息 。 

假设 发 生 了 信息 安全 问题 ， 病 人 信息 遭 到 恶意 修改 。 可 能 某 人 在 正常 登录 后 意外 忘记 退出 
而 使 得 未 经 授权 人 员 获 得 了 访问 系统 的 机 会 。 另 外 ， 有 正当 权限 的 内 部 工作 人 员 也 可 能 去 恶意 
修改 病人 的 信息 。 为 了 减少 这 种 事情 再 次 发 生 的 可 能 性 ， 引 人 了 一 种 新 的 信息 安全 策略 。 在 对 病 
人 数据 库 修改 之 前 ， 请 求 做 修改 操作 的 人 一 定 要 重新 向 系统 认证 他 们 自己 的 身份 。 进 行 修改 的 
人 的 详细 信息 也 被 单独 记录 在 一 个 文件 中 。 这 有 助 于 再 次 发 生 问题 时 能 够 轻松 追踪 。 

热 行 这 种 新 策略 的 一 个 办 法 是 修改 每 个 组 件 中 的 update 方法 使 之 调用 其 他 用 来 认证 和 登录 
的 方法 。 或 者 是 ， 修 改 系统 ， 使 得 每 次 调用 更 新 方法 之 前 ， 增 加 调用 进行 认证 的 方法 ， 并 在 改变 
发 生 之 后 记录 相关 信息 。 但 这 两 种 方法 都 不 是 解决 问题 的 非常 好 的 方法 。 

1 第 一 种 方法 导致 了 一 个 混乱 的 实现 。 逻 辑 上 讲 ， 更 新 数据 库 ， 认 证 实现 更 新 的 人 以 及 做 
更 新 的 详细 信息 的 日 志 是 独立 的 、 不 相关 的 关注 点 。 你 可 能 希望 在 系统 的 任何 地 方 包含 认证 而 
HEAD, 或 者 会 希望 对 除了 更 新 行为 之 外 的 其 他 行为 也 给 出 日 志 。 相 同 的 认证 和 日 志 代 码 就 
需要 在 不 同 的 方法 中 包含 多 遍 。 
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2. 第 二 种 方法 导致 了 一 个 分 散 的 实现 。 如 果 你 在 更 新 方法 调用 之 前 明确 包含 认证 的 调用 ， 
并 在 更 新 方法 调用 后 显 式 地 包含 日 志方 法 调用 ， 那 么 代码 就 会 包含 在 系统 的 许多 不 同 的 地 方 。 

认证 和 日 志 横贯 系统 的 核心 关注 点 ， 并 可 能 不 得 不 包含 在 多 个 不 同 的 地 方 。 在 面向 方面 的 
系统 中 ， 我 们 可 以 把 这 些 横 切 关 注 点 表达 为 独立 的 方面 。 一 个 方面 包含 一 个 描述 ， 说 明 将 在 何 处 
把 横 切 关注 点 编织 进程 序 ， 还 包含 实现 关注 点 的 代码 。 如 图 21-5 所 示 ， 定 义 了 一 个 认证 方面 。 
本 例 中 使 用 的 符号 与 Aspect] 中 的 风格 是 一 致 的 ， 但 也 简化 了 它 的 名 法， 使 之 在 没有 Java 或 As- 
pect) 的 知识 的 情况 下 也 是 可 以 理解 的 。 


aspect authentication 
{ 


before: call (public void update* (..)) // this is a pointcut 
I 


// this is the advice that should be executed when woven into // the 
executing system 
int tries «0 ; 
string userPassword = Password.Get ( tries ) ; 
while (tries < 3 && userPassword !- thisUser.password ( ) ) 
! 
// allow 3 tries to get the password right 
tries = tries +1; 
userPassword = Password.Get ( tries ) ; 
if (userPassword !- thisUser.password ( )) then 
//if password wrong, assume user has forgotten to logout 
System. Logout (thisUser,uid) ; 


t 
} // authentication 





图 21-5 身份 认证 方面 


方面 完全 不 同 于 其 他 的 程序 抽象 ， 因 为 方面 本 身 包 含 一 个 描述 ， 说 明 它 应 该 在 哪里 执行 。 其 
他 的 抽象 ， 比 如 说 方法 ， 在 抽象 的 定义 和 它 的 使 用 之 间 有 一 个 清晰 的 分 离 。 我 们 不 能 通过 检查 一 
个 方法 来 得 知 它 会 在 哪里 被 调用 。 可 以 在 方法 的 有 效 范围 内 的 任何 地 方 调用 一 个 方法 。 相 对 来 
Wt, 方面 包含 一 个 切 人 点 一 一 一 个 语句 定义 方面 将 在 何 处 被 编织 进程 序 。 

在 本 例 中 ， 切 人 点 是 一 个 简单 的 语句 ， 


before: call (public void update* (..)) 


这 个 语句 的 意思 是 在 执行 任何 名 字 以 update 开头 的 方法 之 前 ， 执 行 切 人 点 定义 之 后 的 代码 。 
字符 * 称 为 “通配符 ”， 可 以 匹配 任何 允许 的 标识 符 组 成 的 字符 串 。 要 执行 的 代码 称 为 “建议 ”， 
它 是 对 横 切 关注 点 的 实现 。 这 些 情形 中 ,“ 建 议 ”从 请 求 对 数据 库 修 改 的 人 那里 获得 密码 并 与 现 
在 的 登录 人 的 密码 进行 核对 。 如 果 不 符合 ， 那 么 用 户 被 强制 退出 ， 更 新 不 会 进行 。 

定义 和 使 用 切入 点 ， 即 指定 代码 应 该 在 哪里 执行 ， 是 方面 的 一 个 显著 特征 。 但 是 ， 要 理解 切 
人 点 含义 ， 还 需要 理解 男 一 个 概念 一 一 连接 点 思想 。 连 接点 是 在 程序 执行 期 间 发 生 的 一 个 事件 。 
所 以 ， 它 可 以 是 一 个 方法 调用 ， 可 以 是 变量 初始 化 ， 或 者 是 更 新 一 个 域 ， 等 等 。 

在 程序 执行 期 间 会 有 许多 种 类 型 的 事件 发 生 。 连 接点 模型 定义 一 个 可 以 在 面向 方面 程序 中 
引用 的 事件 集合 。 连 接点 模型 没有 标准 化 ， 每 个 面向 方面 编程 语言 都 有 自己 的 连接 点 模型 。 例 
如 ， 在 Aspect] 中 ， 连 接点 模型 中 的 一 部 分 事件 包括 : 

调用 事件 ， 调 用 一 个 方法 或 一 个 构造 函数 ; 

执行 事件 ， 执 行 一 个 方法 或 一 个 构造 函数 ; 

初始 化 事件 ， 类 或 对 象 的 初始 化 ; 

数据 事件 ， 对 域 的 访问 或 更 新 ; 
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异常 事件 ， 异 常 的 处 理 。 

切 人 点 识别 特别 事件 〈 如 对 指定 子 程序 的 调用 )， “建议 ”应 与 这 些 事 件 相 关联 。 即 可 以 根 
据 所 支持 的 连接 点 模型 在 许多 不 同 的 上 下 文中 将 “建议 ”编织 到 程序 中 。 

1. “建议 ”可 以 包含 在 特定 方法 执行 之 前 、 一 组 指定 的 方法 序列 执行 之 前 ,或 者 是 一 组 其 
名 字 与 模式 描述 相 匹 配 (如 update * ) 的 方法 序列 执行 之 前 。 

2. “建议 ”可 以 包含 在 某 个 方法 正常 或 意外 返回 之 后 。 在 图 21-5 的 例子 中 ， 我 们 可 以 定义 
切入 点 使 之 在 所 有 的 更 新 方法 调用 之 后 执行 日 志 代码 。 

3. “建议 ”可 以 包含 在 对 象 中 的 一 个 域 被 修改 时 。 我 们 可 以 包含 “建议 ”来 监视 或 修改 那 
个 域 。 

将 “建议 ”包含 在 切 人 点 中 所 定义 的 连接 点 上 是 方面 编织 器 的 责任 。 方 面 编织 器 是 编译 器 
的 扩展 ， 它 处 理 构成 系统 的 方面 、 对 象 类 和 方法 的 定义 。 然 后 编织 器 通过 在 指定 的 连接 点 上 包含 
方面 来 产生 新 的 程序 。 方 面 得 以 集成 ， 这 样 在 最 终 的 系统 中 的 正确 位 置 处 执行 横 切 关注 点 。 

图 21-6 说 明了 对 身份 认证 和 日 志 的 方面 编织 ， 这 些 方面 都 是 应 该 包括 进 MHC-PMS 中 的 。 有 
3 种 不 同 的 方法 来 编织 方面 : 


身份 认证 方面 


for 
R 21-6 方面 编织 


l. 源 代码 预 处 理 ， 即 编织 器 接收 输入 的 源 代码 并 生成 新 代码 ， 新 代码 可 以 是 Java 或 C++ 这 
类 语言 的 代码 ， 是 能 使 用 标准 编译 器 编译 的 。 这 个 方法 已 经 在 AspectX 语言 中 得 到 采用 ， 其 相应 
的 编织 器 是 XWeaver ( Birrer 等 ,2005 ) 。 

2. 链接 时 编织 ， 即 修改 编译 器 使 之 包括 一 个 方面 编织 器 。 处 理 如 Aspect] 这 样 的 面向 方面 的 
语言 ， 并 生成 标准 的 Java 字 节 码 。 然 后 就 可 以 直接 由 Java 解释 器 执行 ， 或 经 过 更 进一步 的 处 理 
生成 本 地 机 器 码 。 

3. 执行 时 动态 编织 。 在 此 情形 中 ， 连 接点 被 监控 ， 每 当 由 切 人 点 所 引用 的 事件 发 生 时 ， 就 
将 相应 的 “建议 ”集成 到 执行 程序 中 。 . | 

方面 编织 中 最 广泛 使 用 的 方法 是 链接 时 编织 ， 因 为 它 允 许 方面 高 效 实现 而 无 大 的 运行 时 开 
销 。 动 态 编织 是 最 灵活 的 方法 ,但 会 在 程序 执行 时 导致 严重 的 性 能 损失 。 源 代码 预 处 理 目前 已 经 
很 少 使 用 了 。 


21.3 采用 方面 的 软件 工程 


方面 最 早 是 作为 一 个 编程 语言 的 结构 引入 的 ， 但是， 正如 前 面 曾 讨论 过 的 ， 关 注 点 的 概念 实 
际 上 是 从 系统 需求 中 导出 的 。 因 此 ， 在 系统 开发 过 程 的 所 有 阶段 采用 面向 方面 的 方法 是 很 有 意 
义 的 。 在 软件 工程 的 早期 阶段 ， 采 用 面向 方面 的 方法 意味 着 利用 分 离 关 注 点 的 概念 作为 考虑 需 
求 和 系统 设计 的 基础 。 识 别 关 注 点 和 对 关注 点 的 建 模 应 该 是 需求 工程 和 设计 过 程 的 一 部 分 。 面 
向 方面 的 程序 语言 提供 技术 支持 在 你 的 系统 实现 中 维护 关注 点 的 分 离 。 | 

设计 一 个 系统 时 ，Jacobsen 和 Ng (2004) 建议 : 我 们 应 该 让 系统 支持 不 同 的 信息 持 有 者 的 





















authentication code 
updateDetails (...) 
logging code 
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关注 点 ， 把 系统 看 成 是 一 个 核心 系统 加 若 于 扩展。 图 21.7 中 使 用 UML 包 来 表示 核心 系统 和 扩 
展 。 核 心 系统 是 实现 系统 关键 目标 的 一 组 系统 特 
4E, 因此， 如 果 特定 系统 的 目标 是 维护 医院 中 病人 
的 信息 ， 那 么 此 核心 系统 就 提供 创建 、 编 辑 、 管 理 
和 访问 病人 记录 数据 库 的 方法 。 对 核心 系统 的 扩展 
反映 额外 的 信息 持 有 者 的 关注 点 ， 这 些 关注 点 必须 
与 核心 系统 整合 在 起。 例如， 医疗 信息 系统 维护 
病人 信息 的 私密 性 是 很 重要 的 ， 所 以 可 能 需要 一 个 
扩展 是 关于 访问 控制 的 ， 另 外 还 要 有 个 是 关于 加 
密 的 ， 等 等 。 | 

这 里 有 几 种 不 同类 型 的 扩展 ， 它 们 源 自 于 21. 1 FUE Re 
节 中 讨论 的 各 种 类 型 的 关注 点 。 

1. 第 二 类 功能 性 扩展 ”它们 在 核心 系统 所 提供 的 功能 基础 上 增加 额外 的 能 力 。 以 MHC-PMS 
为 例 ， 生 成 上 个 月 的 药物 处 方 的 报告 就 是 对 病人 信息 系统 的 第 二 类 功能 性 扩展 。 

2. 政策 扩展 “它们 增加 功能 性 能 力 来 支持 某 些 机 构 政策 。 用 来 增加 信息 安全 特征 的 扩展 就 
是 政策 扩展 的 例子 。 

3. QoS 扩展 “它们 增加 功能 性 能 力 来 帮助 获得 服务 需求 的 质量 ， 这 些 服务 需求 是 系统 需求 
中 指定 了 的 内 容 。 例 如 ， 一 个 扩展 可 能 是 提供 缓存 以 减少 数据 库 访问 的 次 数 ， 或 提供 自动 备份 以 
便当 系统 崩溃 事件 发 生 时 能 从 中 恢复 。 

4. 基础 结构 扩展 ”它们 增加 功能 性 能 力 来 支持 系统 在 某 些 特殊 执行 平台 上 的 实现 。 比 如 ， 
在 病人 信息 系统 中 ， 基 础 结构 扩展 可 以 用 来 实现 到 基础 数据 库 管理 系统 的 接口 。 修 改 相关 的 基 
础 结构 扩展 就 可 以 更 改 这 些 接口 。 

扩展 总 是 向 核心 系统 添加 某 类 功能 或 者 额外 的 特征 。 方 面 是 实现 这 些 扩展 的 方法 ， 它 们 还 
可 以 在 面向 方面 的 编程 环境 中 利用 编织 工具 与 核心 系统 功能 相 组 合 。 


21.3.1 面向 关注 点 的 需求 工程 


正如 21. 1 节 中 所 提出 的 ， 关 注 点 反映 了 信息 持 有 者 的 需求 。 这 些 关注 点 可 能 反映 了 信息 持 
有 者 所 要 求 的 功能 需求 、 系 统 服 务 的 质量 、 机 构 政 策 或 者 是 与 系统 总 体 特性 相关 的 一 些 间 题 。 因 
此 ， 为 需求 工程 采用 一 种 方法 去 识别 和 指定 不 同 信息 持 有 者 的 关注 点 很 有 意义 。“ 早 期 方面 ”这 
个 术语 曾 用 来 指 在 软件 生命 周期 的 早期 阶段 对 方面 的 使 用 ， 在 此 阶段 强调 的 是 关注 点 的 分 离 。 

人 们 认识 到 在 需求 工程 期 间 分 离 关 注 点 的 重要 性 已 经 有 好 多 年 了 。 表 现 系统 不 同 角度 的 视点 概 
念 是 分 离 不 同 信息 持 有 者 关注 点 的 一 种 方法 ， 而 且 它 已 gu. uta 
经 融和 人 到 很 多 需求 工程 的 方法 中 了 (Easterbrook 和 Nu- 
seibeh, 1996; Finkelstein 等 ，1992 ; Kotonya 和 Sommer- 
ville, 1996) 。 这 些 方法 分 离 不 同 信 息 持 有 者 的 关注 点 。 
视点 反映 不 同 的 信息 持 有 者 群体 所 要 求 的 独特 功能 。 

但 是 ， 也 有 像 图 21-8 所 示 的 那样 的 横贯 所 有 视点 
的 需求 。 此 图 说 明 ， 视 点 可 能 是 不 同类 型 的 ， 但 横贯 
关注 点 (比如 规章 、 可 依赖 性 、 信 息 安全 性 ) 产生 可 
能 影响 系统 中 的 所 有 视点 的 需求 。 这 是 作者 在 开发 Pre- 规则 “信息 安全 性 可 依赖 性 
View 方法 中 所 做 的 工作 主要 考虑 的 事情 ( Sommerville 
和 Sawyer, 1997, Sommerville 等 , 1998 ) ， 此 方法 包括 识 








图 21-8 视点 和 关注 点 
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别 模 切 关注 点 和 非 功 能 性 关注 点 的 步骤 。 

为 了 开发 一 个 如 图 21-7 中 风格 的 系统 ， 就 应 该 识别 出 核心 系统 的 需求 和 系统 扩展 的 需求 。 
需求 工程 的 面向 视点 的 方法 ， 即 每 个 视点 代表 一 组 信息 持 有 者 的 需求 ， 是 分 离 核心 关注 点 和 第 
二 类 关注 点 的 方法 。 如 果 我 们 根据 信息 持 有 者 的 视点 来 组 织 需求 ， 接 下 来 就 可 以 通过 对 它们 的 
分 析 来 发 现 那些 出 现在 所 有 或 者 大 部 分 视点 中 的 需求 。 这 些 需 求 代 表 了 系统 的 核心 功能 。 其 他 
的 视点 需求 可 能 是 该 视点 的 特有 的 ， 可 以 作为 对 核心 功能 的 扩展 加 以 实现 。 

例如 ， 设 想 你 正在 开发 一 个 在 应 急 服务 中 使 用 的 专用 设备 做 跟踪 的 软件 系统 。 此 设备 放置 
在 不 同 的 地 方 ， 可 能 存在 于 一 个 地 区 或 一 个 州 的 很 多 地 方 。 在 紧急 事件 如 洪水 或 地 震 出 现 的 时 
候 ， 应 急 服务 使 用 此 系统 来 发 现 离 问题 发 生地 最 近 的 可 用 设备 。 图 21-9 给 出 了 一 个 有 3 个 可 能 
视点 的 系统 的 概要 需求 。 

应 急 服务 用 户 
寻找 一 个 特殊 类 型 设备 (例如 起 重 装置 ) 
在 指定 仓库 查看 可 用 的 设备 


1. 
1.1 

1.2 

1.3 对 设备 付 账 
1.4 对 设备 登记 
1.5 
1.6 
1.7 






FIREMEN EA 
提交 损坏 
S ARS ae Rea 
2. 应 急 规 划 者 
2.1 寻找 一 个 特殊 类 型 的 设备 
2.2 在 指定 地 点 查看 可 用 设备 
2.3 从 仓库 登记 /检查 设备 
2.4 将 设备 从 一 仓库 移 到 另 一 个 仓库 
2.5 订购 新 设备 
3 1 维护 人 员 
为 维护 登记 /检查 设备 
3 2 在 每 个 仓库 查看 可 用 设备 
3.3 寻找 某 个 特殊 类 型 设备 
3.4 对 某 个 设备 项 查看 维护 进度 
3.5 为 设备 项 完善 维护 记录 
3.6 显示 某 仓库 中 需要 维护 的 所 有 设备 项 


图 21-9 设备 库存 系统 中 的 视点 


从 这 个 例子 中 你 可 以 看 出 所 有 不 同 视点 的 信息 持 有 者 都 需要 能 够 找到 特殊 的 设备 项 ， 浏 览 每 个 
地 点 的 可 用 设备 并 从 仓库 登记 借 出 设备 。 因 而 这 些 是 核心 系统 的 需求 。 第 二 类 需求 支持 每 个 视点 的 
更 多 的 特殊 需要 。 对 于 系统 扩展 来 说 ， 有 支持 设备 使 用 、 管 理 和 维护 这 样 一 些 第 二 类 需求 。 

通过 视点 所 识别 出 来 的 第 二 类 功能 性 需求 不 一 定 横 贯 来 自 其 他 视点 的 需求 。 例 如 ， 只 有 维 
护 视 点 关注 记录 维护 操作 的 完成 。 这 些 需 求 反映 了 该 视点 的 需要 ， 那 些 关 注 点 可 能 无 需 与 其 他 
视点 共享 。 然 而 ， 除 此 第 二 类 功能 性 需求 之 外 ， 还 有 模 切 关注 点 ， 产 生 对 部 分 或 所 有 视点 都 很 重 
要 的 需求 。 这 些 通常 反映 的 是 作用 于 整个 系统 的 服务 需求 的 政策 和 质量 。 如 第 4 章 中 讨论 过 的 ， 
这 些 属于 非 功 能 性 需求 ， 比 如 信息 安全 、 性 能 和 成 本 的 需求 。 . 

在 设备 库存 系统 中 ， 横 切 关 注 点 的 一 个 例子 是 系统 可 用 人 性。 紧急 情况 的 发 生 可 能 很 少 或 者 
根本 没有 警告 。 为 了 挽救 生命 可 能 要 求 尽 可 能 快 地 部 署 好 重要 设备 。 因 此 设备 库存 系统 的 可 靠 
性 需求 就 会 包括 高 要 求 的 系统 可 用 性 需求 。 图 21-10 给 出 了 一 些 可 依赖 性 需求 的 例子 以 及 相应 的 
解释 。 通 过 这 些 需 求 ， 我 们 就 可 以 判断 出 对 一 些 核心 功能 的 扩展 ， 这 些 核心 功能 包括 用 于 事务 日 
志和 状态 报告 ， 这 使 得 找 出 问题 和 切换 到 备用 系统 变 得 很 容易 。 

需求 工程 过 程 的 成 果 应 该 是 一 组 需求 。 这 个 需求 集合 被 划分 到 核心 系统 和 扩展 组 件 两 概念 
对 应 的 子 集中 。 举 例 来 说 ， 在 库存 系统 中 ， 核 心 需求 的 例子 如 : 
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C.1 系统 应 该 允许 授权 用 户 查 看 应 急 服务 库存 中 的 任何 设备 项 的 描述 。 

C.2 系统 应 该 包括 一 个 搜索 工具 ， 允许 授 权 用 户 搜索 单个 库存 或 全 部 库存 中 的 某 个 特殊 设 
备 项 或 特殊 设备 类 型 。 

系统 也 应 该 包含 一 个 扩展 用 于 支持 设备 的 获得 和 替换 。 因 此 ， 对 此 扩展 的 需求 可 能 是 ; 

El.l 为 了 更 换 设 备 ， 经 授权 的 用 户 应 该 能 够 向 可 靠 厂 商 下 设备 订单 。 

El1. 1.1 某 个 设备 项 已 经 订购 ， 它 应 位 于 特定 的 仓库 并 在 此 库存 中 被 标记 为 “已 预订 ”。 






AV.1 ”应 该 有 一 个 紧急 备用 系统 ， 与 主 系统 在 地 理 上 适当 分 离 。 

解释 : 紧急 事件 可 能 影响 系统 的 基本 位 置 。 

AV. 1.1 所 有 的 事务 应 该 在 主 系统 站 点 和 远 处 的 备用 站 点 都 有 记录 。 

解释 : 因而 允许 事务 重 放 并 保持 系统 数据 库 的 一 致 。 

系统 每 5 分 钟 应 向 紧急 事件 控制 室 系 统 发 送 状态 信息 

如 果 主 系统 不 可 用 ， 紧 急事 件 控制 室 系统 的 操作 者 能 够 将 其 切换 到 备用 系统 














图 21-10 设备 库存 系统 的 可 用 性 相关 需求 


Qu. 


作者 在 第 4 章 中 介绍 了 视点 的 概念 ， 在 那儿 解释 了 视点 是 如 何在 构建 不 同 信息 持 有 者 需求 
中 使 用 的 。 利 用 视点 ， 你 可 以 确定 每 组 信息 持 有 者 对 核心 系统 的 需求 。 
http: //www. SoftwareEngineering-9. com/Web/ Requirements/ Viewpoints. html 


作为 一 般 规 则 ， 你 要 避免 让 系统 有 太 多 的 关注 点 和 扩展 。 这 些 太 多 的 关注 点 和 扩展 只 能 让 
读者 混淆 并 可 能 导致 不 成 熟 的 设计 。 这 一 点 限制 了 设计 者 的 自由 ,并 有 可 能 导致 系统 的 设计 不 
能 满足 服务 需求 的 质量 。 


21.3.2 面向 方面 的 设计 和 编程 


面向 方面 的 设计 是 利用 方面 进行 系统 设计 的 过 程 ， 通 过 方面 来 实现 那些 在 需求 工程 过 程 中 
所 找 出 来 的 横 切 关 注 点 和 扩展 。 在 此 阶段 ， 我 们 需要 把 与 所 要 解决 的 问题 相关 联 的 关注 点 翻译 成 
程序 中 对 应 的 方面 。 我 们 也 需要 了 解 如 何 将 这 些 方面 与 系统 的 其 他 组 件 组 合 在 一 起 ， 并 确保 不 
发 生 组 合 的 二 义 性 。 

需求 的 高 层 声 明 为 识别 某 些 系 统 扩展 提供 了 基础 ， 这 些 扩展 可 以 实现 为 方面 。 接 下 来 ， 就 需 
要 给 出 更 详细 的 需求 ， 从 而 识别 出 更 多 的 扩展 并 了 解 所 需要 的 功能 。 其 中 一 种 方法 是 找 出 一 组 
和 每 个 视点 相关 的 用 例 〈 在 第 4、5 章 中 论述 过 ) 。 用 例 模型 关注 交互 ， 比 用 户 需求 更 具体 。 你 
可 以 把 它 看 做 是 是 需求 和 设计 之 间 的 桥梁 。 在 用 例 模 型 中 ， 我 们 描述 用 户 交 互 的 步骤 ， 从 而 开始 
识别 和 定义 系统 中 的 类 。 

Jacobsen 和 Ng (2004) 出 过 一 本 书 ， 讨 论 用 例如 何在 面向 方面 的 软件 工程 中 使 用 。 他 们 建 
议 每 个 用 例 代 表 一 个 方面 ， 他 们 也 提议 扩展 用 例 方法 来 支持 连接 点 和 切 人 点 。 另 外 也 引入 了 用 
例 片段 和 用 例 模 块 的 概念 ， 用 例 片段 和 用 例 模块 包含 了 用 于 实现 方面 的 类 片段 ， 通 过 它们 的 组 
合 可 以 创建 出 完整 的 系统 。 

图 21-11 示意 的 是 包括 3 个 用 例 的 库存 管理 系统 的 一 部 分 。 这 些 用 例 反映 了 往 库存 中 增加 设 
备 和 订购 设备 的 关注 点 。 设 备 订 购 和 往 仓库 中 增加 设备 是 相关 的 关注 点 。 一 旦 所 订购 的 项 交付 ， 
.它们 必须 被 加 入 到 库存 中 并 移交 到 某 个 设备 仓库 。 

UML 已 经 包含 了 扩展 用 例 的 概念 。 扩 展 用 例 是 对 另 一 个 用 例 的 功能 扩充 。 图 21-12 示意 的 是 
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如 何 用 下 设备 订单 这 个 用 例 来 扩展 增加 设备 到 特定 仓库 这 个 核心 用 例 的 。 如 果 要 添加 的 设备 不 
存在 ， 那 可 以 订购 ， 当 货物 到 达 时 添加 到 仓库 中 。 在 用 例 模型 开发 过 程 中 ， 我 们 应 该 寻找 共性 特 
征 。 如 果 可 能 的 话 ， 将 用 例 设计 成 核心 用 例 加 扩展 用 例 的 形式 。 横 切 特征 ， 如 对 所 有 交易 的 日 
志 ， 也 可 以 表示 为 扩展 用 例 。Jacobsen 和 Ng 讨论 了 如 何 将 此 类 型 的 扩展 实现 为 方面 的 问题 。 


将 设备 从 仓库 移出 





下 设备 订单 
往 仓 库 添加 设备 
操作 者 往 仓库 添加 设备 
下 设备 订单 操作 者 
图 21-11 来 自 库存 管理 系统 的 用 例 图 21-12 扩展 用 例 


如 果 我 们 接受 和 使 用 面向 方面 的 设计 ,那么 给 出 一 种 高 效 的 面向 方面 的 设计 过 程 就 是 非常 
重要 的 了 。 建 议 面向 方面 的 设计 过 程 应 包括 如 图 21-13 所 示 的 一 些 活动 ， 这 些 活动 是 : 


核心 系统 设计 id 方面 识别 和 设计 gu 冲突 分 析 和 解决 


程序 命名 标准 









图 21-13 通用 的 面向 方面 设计 过 程 


1. 核心 系统 设计 ”在 此 阶段 ,设计 一 个 能 支持 系统 核心 功能 的 体系 结构 。 该 体系 结构 也 必 
须 考虑 服务 需求 的 质量 ， 比 如 性 能 和 可 依赖 性 需求 。 

2. 方面 识别 和 设计 从 系统 需求 中 得 到 的 扩展 开始 ， 通 过 对 它们 的 分 析 判 断 它们 本 身 是 否 
构成 方面 ， 或 者 是 应 该 将 它们 剖 分 成 几 个 方面 。 一 旦 找 出 了 方面 , 就 可 以 分 别 对 它们 进行 设计 
了 ， 同 时 兼顾 对 核心 系统 特征 的 设计 。 

3. 合成 设计 在 此 阶段 ,分 析 核 心 系统 设计 和 方面 设计 ， 从 中 发 现在 哪里 应 该 将 方面 与 核 
心 系统 合成 在 一 起 。 重 要 的 是 ， 找 到 程序 中 将 方面 编织 进去 的 连接 点 。 

4. 冲突 分 析 和 解决 ”方面 的 问题 在 于 当 它们 与 核心 系统 合成 在 一 起 时 容易 发 生 互相 干扰 。 
当 有 一 个 切 人 点 和 若干 个 指定 要 在 此 处 合成 的 方面 的 时 候 冲 突 就 发 生 了 。 然 而 ， 还 可 能 有 更 微 
妙 的 冲突 发 生 。 因 为 方面 是 独立 设计 出 来 的 ， 它 们 可 能 都 对 核心 系统 功能 有 个 假设 ， 而 这 些 核心 
功能 都 是 要 修改 的 。 当 许多 方面 合成 在 一 起 的 时 候 ， 一 个 方面 对 系统 功能 的 影响 可 能 是 其 他 方 
面 所 无 法 预料 到 的 。 因 而 整个 系统 的 行为 会 与 期 望 的 有 所 不 同 。 l 

5. 名 字 设 计 这 是 一 项 很 重要 的 活动 ， 它 定义 程序 中 实体 命名 的 标准 。 这 对 于 避免 意外 切 
人 点 问题 是 必要 的 。 意 外 切 人 点 发 生 在 这 样 的 情况 下 ， 在 某 些 程序 连接 点 上 ， 名 字 意 外 匹配 了 切 
人 点 模式 中 的 名 字 ， 因 此 建议 会 在 此 时 无 意 中 被 应 用 。 显 然 这 不 是 我 们 所 希望 的 ， 程 序 也 会 有 非 
预期 的 行为 。 因 此 ， 你 要 设计 一 个 命名 方案 将 这 种 情况 发 生 的 可 能 性 降 到 最 低 。- 

这 个 过 程 自然 地 是 个 迭代 过 程 ， 首 先是 有 一 个 初始 的 设计 建议 ， 然 后 在 分 析 和 理解 设计 间 
题 的 基础 上 不 断 地 细 化 它 。 通 常情 况 ， 我 们 会 将 需求 中 找 出 的 扩展 细 化 为 很 多 个 方面 。 

面向 方面 设计 过 程 的 输出 结果 是 一 个 面向 方面 的 设计 模型 。 这 可 以 用 UML 扩展 版 本 来 表述 ， 
此 版 本 包括 新 的 方面 特有 的 结构 ， 如 由 Clarke 和 Baniassad (2005) 以 及 Jacobsen 和 Ng (2004) 
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提议 的 等 。 "方面 UML” 的 基本 元 素 包 括 一 些 方面 建 模 的 手段 和 指定 连接 点 的 手段 ， 此 连接 点 既 
是 方面 建议 应 和 核心 系统 组 合 在 一 起 的 地 方 。 

图 21-14 是 一 个 面向 方面 的 设计 模型 的 例子 。 在 此 使 用 的 是 Jacobsen 和 Ng 所 提出 的 方面 的 
UML 约定 。 图 21-14 示意 了 应 急 服 务 库存 的 核心 系统 和 需要 与 核心 组 合 的 一 些 方面 。 前 面 已 经 给 
出 了 一 些 核心 系统 类 和 某 些 方面 。 这 是 一 个 简化 的 描述 ， 一 个 完备 的 模型 应 该 包含 更 多 的 类 和 
方面 。 注 意 是 如 何 使 用 UML 注释 来 提供 有 关 被 某 些 方面 所 横贯 的 一 些 类 的 额外 信息 。 





图 21-14 面向 方面 的 设计 模型 


图 21-15 是 方面 更 具体 的 模型 。 很 显然 ， 在 设计 方面 之 前 ， 需 要 有 个 核心 系统 的 设计 。 因 为 
这 里 无 法 展开 陈述 ， 所 以 对 核心 系统 中 的 类 和 方法 进行 mes 
se 

方面 的 第 一 部 分 宣布 切 人 点 ， 指 定 它 将 在 哪 与 核心 viewMain = call getlteminfo (.) 
系统 组 合 。 例 如 ， 第 一 个 切 人 点 指定 方面 会 在 调用 get | neo al movete C) 
ItemInfo (.. ) 这 个 连接 点 处 组 合 进 系统 。 接 下 来 的 部 分 
定义 将 由 方面 所 实现 的 扩展 。 在 此 例 中 ， 扩 展 声 明 可 以 
写成 : 

“在 方法 viewltem 中 ， 对 方法 getItemInfo 的 调用 后 ， 
应 该 包含 进去 一 个 对 方法 displayHistory 的 调用 ， 以 显示 
维护 记录 。” 图 21-15 方面 模型 的 部 分 内 容 

面向 方面 的 编程 (AOP) 是 伴随 着 编程 语言 AspectJ 的 发 展 由 Xerox 公司 的 PARC 实验 室 于 
1997 年 首先 开始 的 。Aspect] 依然 是 应 用 最 广泛 的 面向 方面 的 语言 ， 但 是 其 他 语言 (比如 CH 和 
C++) 也 实现 了 面向 方面 的 扩展 。 其 他 实验 性 语言 也 已 经 开发 出 来 支持 显 式 地 分 离 关 注 点 和 组 合 
关注 点 。 同时 ，. NET 框架 中 也 有 对 AOP 的 尝试 性 实现 。 面 向 方面 的 编程 在 其 他 的 书 中 有 全 面 的 
介绍 (Colyer 等 , 2005; Gradecki 和 Lezeiki, 2003; Laddad, 2003b) 。 

如 果 要 采用 面向 方面 的 方法 来 设计 你 的 系统 ， 就 必须 先 找 出 核心 功能 和 扩展 ， 将 扩展 实现 
为 横 切 的 方面 。 于 是 编程 过 程 的 焦点 将 是 编写 代码 实现 核心 系统 和 扩展 功能 。 紧要 的 是 ， 在 方面 
中 定义 切 人 点 ， 这 样 方面 建议 就 能 够 在 正确 的 地 方 被 编织 进 基础 代码 中 。 

正确 地 指定 切入 点 是 非常 重要 的 ， 因为 它们 定义 了 方面 的 建议 在 哪里 和 核心 功能 结合 起 来 。 
如 果 在 切入 点 的 描述 上 犯错 误 ， 那么 方面 的 建议 将 在 错误 的 地 方 被 编织 到 程序 中 。 这 将 导致 不 
希望 的 也 是 不 可 预料 的 程序 行为 。 坚持 在 系统 设计 过 程 中 遵循 所 建立 的 命名 标准 是 必要 的 。 同 
时 也 要 复查 所 有 的 方面 以 保证 如 果 有 两 个 或 多 个 方面 在 相同 的 连接 点 上 编织 进 核心 系统 时 没有 
冲 罕 发生。 一 般 来 说 ， 最 好 能 够 完全 避免 ， 但 是 有 时 候 ， 将 它们 实现 为 一 个 关注 点 可 能 是 最 好 的 











Class Extensions 


ViewMaintenance History 
<viewltem> (after (<viewMain>)displayHistory) 


More Extensions Here 
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方法 。 在 这 种 情况 下 ， 就 必须 保证 方面 是 完全 独立 的 。 程 序 的 行为 不 应 依赖 于 方面 编织 进程 序 的 
顺序 。 : 


21.3.3 ”检验 和 有 效 性 验证 


正如 第 8 章 中 所 论述 的 ， 检 验 和 有 效 性 验证 是 证 明 一 个 程序 符合 它 的 描述 (检验) 以 及 符 
合 它 的 信息 持 有 者 的 真正 需要 (有 效 性 验证 ) 的 过 程 。 静 态 检验 技术 集中 于 手动 或 自动 分 析 程 
序 的 源 代 码 。 动 态 验证 或 测试 是 试图 发 现 程序 中 的 缺陷 或 证 明 程序 满足 它 的 需求 。 如 果 缺 陷 检 
测 作为 目标 的 话 ， 测 试 过程 会 在 程序 源 代 码 的 知识 指导 下 进行 。 测 试 覆 盖 的 度量 给 出 源 代 码 语 
名 执行 的 测试 的 有 效 性 。 

对 于 面向 方面 的 系统 ， 其 有 效 性 验证 测试 的 过 程 和 对 其 他 系统 没有 什么 区 别 。 最 终 执 行 的 
程序 被 看 做 是 一 个 黑 盒 ， 设 计 测试 以 说 明 系统 是 否 符合 它 的 需求 。 然 而 ， 当 通过 程序 的 源 代码 找 
可 能 的 缺陷 测试 时 ， 方 面 的 使 用 会 导致 程序 检查 和 白 盒 测 试 出 现实 际 问题 。 

如 第 24 章 中 所 论述 的 ， 程 序 检查 就 是 一 组 读者 阅读 程序 的 源 代码 寻找 编程 人 员 所 引入 的 缺 
陷 。 它 是 一 个 非常 有 效 的 发 现 缺 陷 的 技术 。 但 是 ， 面 向 方面 的 程序 是 不 能 顺序 地 阅读 的 (例如 
自 上 而 下 的 阅读 ) 。 因 此 它们 更 难以 理解 。 

程序 的 可 理解 性 的 一 般 准则 是 读者 能 够 自 左 向 右 、 自 顶 向 下 地 阅读 程序 而 不 用 切换 注意 力 
到 其 他 代码 部 分 。 这 使 得 读者 容易 阅读 也 使 得 编程 人 员 犯 错误 的 机 会 小 得 多 ， 因 为 注意 力 集中 
在 一 段 代码 上 。 改 善 程序 的 可 读 性 是 引入 结构 化 编程 (Dijkstra 等 ，1972) 和 从 高 级 语言 中 除去 
无 条 件 转 移 (go-to) 语句 的 主要 原因 。 

在 面向 方面 的 系统 中 ,顺序 地 阅读 代码 是 不 可 能 的 。 阅 读者 必须 检查 每 个 方面 ， 了 解 它 的 切 
人 点 〈 它 可 能 是 模式 ) 和 面向 方面 语言 的 连接 点 模型 。 当 阅读 程序 时 ， 必 须 识别 每 个 潜在 的 连 
接点 并 把 注意 力 转移 到 方面 代码 ， 看 它 是 否 在 那 点 上 编织 的 。 然 后 ， 注 意 力 接着 回 到 基 代码 的 主 
控制 流 。 现 实 中 ， 这 在 认 知 上 是 不 可 能 的 ， 检 查 面向 方面 程序 的 唯一 可 能 的 方法 是 使 用 代码 阅读 
工具 。 

代码 阅读 工具 可 以 使 面向 方面 的 程序 “ 变 平 "， 展 现在 读者 面前 的 是 已 经 将 方面 在 指定 的 连 
接点 处 编织 进程 序 的 代码 。 但 是 ， 这 并 不 是 针对 代码 阅读 问题 的 完整 解决 方案 。 一 个 语言 中 的 连 
接点 模型 可 能 是 动态 的 而 非 静 态 ， 并 且 不 太 可 能 证 明 扁 平 化 的 程序 能 不 折 不 扣 地 按照 要 执行 的 
程序 那样 做 。 而 且 ， 因 为 不 同 的 方面 有 相同 切 人 点 描述 是 可 能 的 ， 程 序 阅读 工具 必须 了 解 方面 纺 
织 器 是 如 何 处 理 这 些 “ 竞 争 ” 方 面 的 以 及 如 何 安排 其 组 成 的 。 

白 盒 或 结构 化 测试 是 系统 化 测试 方法 ， 使 用 程序 源 代 码 知识 去 设计 缺陷 测试 。 其 目标 是 设 
计 能 提供 一 定 程度 的 程序 覆盖 的 测试 。 典 型 的 ， 测 试 集 应 该 保证 程序 中 的 每 个 逻辑 路 径 都 执行 
”过 ,使 得 每 个 程序 语句 都 至 少 执行 过 一 次 。 程 序 执行 分 析 器 用 来 证 明 能 达到 这 个 程度 的 测试 

EJ 

在 面向 方面 的 系统 中 ， 此 方法 有 两 个 问题 

1. 程序 代码 的 知识 如 何 能 用 来 系统 地 导出 程序 测试 ? 

2. 测试 覆盖 的 真正 含义 是 什么 ? 

对 没有 无 条 件 分 支 语句 的 结构 化 程序 设计 测试 〈 例 如 对 某 个 方法 代码 的 测试 ) ， 可 以 导出 程 
序 流程 图 ， 流 程 图 显示 了 贯穿 程序 的 每 个 逻辑 执行 路 径 。 接 着 ， 可 以 检查 代码 ， 针 对 流程 图 中 的 
每 个 路 径 ， 选 择 使 路 径 能 够 执行 的 输入 。 

但 是 ， 面 向 方面 的 程序 不 是 结构 化 的 程序 。 控 制 流 被 “come from” 语 句 所 中 有 断 (Constantinos 
等 , 2004) 。 在 某 些 基 代码 执行 中 的 连接 点 上 ， 某 个 方面 可 能 得 到 执行 。 因 为 不 确定 在 这 种 情况 
下 是 否 可 以 构造 一 个 程序 流程 图 ， 所 以 ， 用 系统 化 的 设计 程序 测试 来 保证 所 有 的 基 代 码 和 方面 
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的 组 合 都 得 到 执行 是 很 困难 的 。 

在 面向 方面 的 程序 中 ,还 有 一 个 问题 ， 那 就 是 确定 测试 覆盖 的 内 涵 。 它 意味 着 每 个 方面 的 代 
码 至 少 执行 一 次 ? 这 是 一 个 非常 弱 的 条 件 ， 因 为 方面 和 基 代 码 之 间 在 方面 被 编织 的 连接 点 处 有 
交互 。 那 么 ， 覆盖 测试 的 概念 是 否 需 要 扩展 为 使 得 方面 的 代码 在 每 个 切入 点 指定 的 所 有 连接 点 
上 至 少 执行 一 次 ? 在 这 种 情况 下 ， 如 果 不 同 方面 定义 了 相同 的 切 人 点 又 会 发 生 什么 现象 ? 这 些 既 
包含 理论 上 的 问题 也 包含 实践 上 的 问题 。 我 们 需要 工具 来 支持 面向 方面 的 程序 测试 ， 它 能 够 帮 
助 评估 对 系统 的 测试 覆盖 的 程度 。 

如 第 24 章 中 所 论述 的 ， 大 型 项 目 通 常 都 有 单独 的 质量 保证 队伍 ， 他 们 制定 测试 标准 并 要 求 
严格 ,保证 程序 复查 和 测试 完全 按照 这 些 标准 来 完成 。 对 于 面向 方面 程序 来 说 ， 在 检查 和 导出 测 
试 方面 所 过 到 的 问题 成 为 在 这 样 的 大 型 软件 项 自 中 采用 面向 方面 的 软件 开发 方法 的 巨大 障碍 。- 

与 程序 检查 和 白 盒 测试 中 的 问题 一 样 ，Katz (2005) 指出 在 面向 方面 编程 中 测试 环节 存在 的 
其 他 一 些 问题 : 

1. 应 该 如 何 定义 方面 以 便 能 从 中 推出 对 方面 的 测试 ? 

2. 相对 于 所 要 编织 到 的 基 系 统 ， 如 何 对 方面 进行 独立 测试 ? 

3. 如 何 测 试 方面 的 干涉 ? 如 前 面 曾 论述 的 ， 当 两 个 或 多 个 方面 使 用 相同 的 切入 点 描述 时 方 
面 干涉 就 会 发 生 。 

4. 如 何 设计 测试 ， 使 得 所 有 程序 中 的 连接 点 都 执行 到 ， 且 适当 的 方面 测试 得 到 实施 ? 

从 根本 上 讲 ， 这些 测 试问 题 的 发 生 是 因为 , 方面 是 与 系统 的 主体 代码 紧凑 集成 的 而 不 是 松 
散 集 成 的 ， 轨 此 它们 很 难 孤立 进行 测试 。 因 为 它们 可 能 在 很 多 不 同 的 地 方 编织 进程 序 ， 我 们 就 不 

肯定 在 一 个 连接 点 能 成 功 工作 的 方面 在 其 他 连接 点 处 也 能 正常 工作 。 所 有 这 些 都 是 面向 方面 
的 软件 开发 所 需要 进一步 研究 的 问题 。 


要 点 


s 面向 方面 方法 对 软件 开发 的 景 主要 的 好 处 是 它 支 持 对 关注 点 的 分 离 。 通 过 用 方 而 米 表 示 本 
切 关注 点 ， 单 个 关注 点 才能 在 不 修改 程序 其 他 部 分 的 前 提 下 被 理解 、 复 用 和 修改 。 

m 混乱 现象 发 生 在 系统 中 一 个 模块 包含 实现 不 同系 统 需 求 的 代码 的 倩 形 。 相 对 的 分 散 现象 发 
生 在 系统 中 的 单个 关注 点 被 分 散 到 程序 中 的 几 个 组 件 中 实现 的 时 候 。 

和 a 方 面 ,包括 一 个 切 和 人 点 和 一 个 建议 。 切 和 人 点 ， 即 一 个 定义 在 什么 地 方 将 方面 编织 进程 序 的 
声明 ,建议 ， 即 实现 模 切 关注 点 的 代码 。 连 接点 是 可 以 在 切 人 点 中 查 到 的 事件 。 

m 为 了 确保 对 关注 点 的 分 离 ， 系 统 可 以 设计 成 核心 系统 和 扩展 两 部 分 ， 核 心 系统 实现 信息 持 
有 者 的 主要 关注 点 ， 而 扩展 用 来 实现 第 二 类 关注 点 。 . 

要 识别 关注 点 ， 可 以 将 面向 视点 的 方法 用 于 需求 工程 ， 从 而 导出 信息 持 有 者 的 需求 并 识别 
出 横贯 的 服务 质量 关注 点 和 政策 关注 点 。 

从 需求 到 设计 的 转换 可 以 通过 找 出 用 例 来 实现 ， 得 个 用 例 代 表 一 个 信息 持 有 者 关注 点 。 设 
计 可 以 使 用 带 有 方面 模板 的 UML 扩展 版 来 建 模 。 

对 面向 方面 程序 来 讲 ， 在 检查 和 导出 测试 上 的 问题 是 我 们 在 大 型 软件 项 目 中 采用 面向 方面 
的 软件 开发 方法 的 巨大 障碍 。 


进一步 阅读 材料 


《Aspect-oriented programming) 此 CACM 的 特刊 中 有 多 篇 文章 是 适合 一 般 读 者 的 ， 是 阅读 面 
向 方面 编程 的 一 个 好 的 人 门 读物 (Comm. ACM, 44 (10), October 2001) , http: // dx. doi. org/ 
10. 1145/383845. 383846, 
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《Aspect-oriented Software Development》 这 是 一 个 论文 集 ， 收 录 了 面向 方面 的 软件 开 发 各 个 方 
面 的 文章 ， 其 作者 大 都 是 本 研究 领域 中 的 顶级 研究 人 员 (R.E. Filman, T. Elrad, S. Clarke and 
M. Aksit, Addison-Wesley, 2005 ) 。 

(Aspect-oriented Software Development with Use-Cases》 这 是 一 本 面向 软件 设计 人 员 的 实用 教 
材 ， 讨 论 了 如 何 使 用 用 例 来 管理 关注 点 的 分 离 并 用 它 作为 面向 方面 设计 的 基础 (L Jacobsen and 
P. Ng, Addison-Wesley, 2005) 。 


练习 

21.1 在 大 型 系统 中 会 有 哪些 不 同类 型 的 项 目 信息 持 有 者 关注 点 ? 方面 如 何 能 支持 对 每 个 类 型 的 关注 点 的 
实现 ? 

21.2 总结 一 下 什么 是 混乱 和 分 散 。 举 例 说 明 为 什么 当 系统 需求 改变 时 ， 会 产生 混乱 和 分 散 问题 。 

21.3 ”连接 点 和 切 人 点 有 什么 不 同 ? 解释 它们 是 怎样 作用 于 将 代码 编织 到 程序 中 以 处 理 横 切 关注 点 的 。 

21.4 用 实现 本 质 需 求 的 核心 系统 加 上 实现 附加 功能 的 扩展 来 组 织 系 统 的 思想 是 基于 什么 假设 的 ? 你 能 思 
考 一 下 不 能 恰当 运用 此 模型 的 系统 吗 ? 

21.5 为 MHC -PMS 的 开发 需求 描述 时 ， 应 该 考虑 什么 视点 ? 哪些 可 能 成 为 最 为 重要 的 横 切 关注 点 ? 

21.6 ”使 用 图 21-9 中 的 每 个 视点 的 功能 概要 ， 为 设备 库存 系统 找 出 除了 图 21-11 中 以 外 的 其 他 6 个 用 例 。 
在 适当 的 地 方 ， 说 明 如 何 将 其 中 一 些 做 成 扩展 的 用 例 。 

21.7 利用 图 21-15 中 的 方面 原型 的 符号 ， 给 出 图 21-14 中 所 示 的 订购 和 监控 两 个 方面 的 详细 内 容 。 

21.8 解释 方面 干涉 为 什么 会 发 生 ， 并 给 出 在 系统 设计 过 程 中 应 该 做 哪些 工作 来 减少 方面 干涉 的 问题 。 

21.9 解释 为 什么 用 模式 作为 表达 切 人 点 描述 增加 了 测试 面向 方面 程序 的 问题 。 为 了 回答 这 个 问题 ， 请 思 

考 程序 测试 大 都 是 如 何 利用 期 待 输 出 与 实际 系统 输出 的 比较 的 。 
.10 ”对 如 何 使 用 方面 来 简化 对 程序 的 调试 。 


参考 书目 


Birrer, |., Pasetti, A. and Rohlik, O. (2005). ‘The XWeaver Project: Aspect-oriented Programming 
for On-Board Applications’. http://control.ee.ethz.ch/index.cgi?page-publications;action- 
details;id- 2361. 


2 


— 


Clark, S. and Baniassad, E. (2005). Aspect-Oriented Analysis and Design: The Theme Approach, 
Harlow, UK: Addison-Wesley. 


Colyer, A. and Clement, A. (2005). ‘Aspect-oriented programming with Aspect)’. IBM Systems J., 
44 (2), 301-8. 

Colyer, A., Clement, A., Harley, G. and Webster, M. (2005). eclipse Aspect). Upper Saddle River, 
NJ: Addison-Wesley. 


Constantinos, C., Skotiniotis, T. and Stoerzer, T. (2004). 'AOP considered harmful’. European 
Interactive Workshop on Aspects in Software (EIWAS’ o4), Berlin, Germany. 


Dijkstra, E. W., Dahl, O. J. and Hoare, C. A. R. (1972). Structured Programming. London: 
Academic Press. 


Easterbrook, S. and Nuseibeh, B. (1996). 'Using ViewPoints for inconsistency management’. 
BCSAIEE Software Eng. J., 11 (1), 31~43. 


Finkelstein, A., Kramer, J., Nuseibeh, B. and Goedicke, M. (1992). ‘Viewpoints: A Framework for 
Integrating Multiple Perspectives in System Development’. Int. 人 of Software Engineering and 
Knowledge Engineering, 2 (1), 31-58. 


374 ， 


第 三 部 分 ”高 级 软件 工程 


Gradecki, J. D. and Lezeiki, N. (2003). Mastering Aspect): Aspect-Oriented Programming in Java. 
New York: John Wiley & Sons. 


Jacobson, I. and Ng, P-W. (2004). Aspect-oriented Software Development with Use Cases. 
Boston: Addison-Wesley. 


Katz, S. (2005). ‘A Survey of Verification and Static Analysis for Aspects’. http:/ /www.aosd-europe.net/ 
documents/verificM81.pdf. 


Kiczales, G., Hilsdale, E., Hugunin, J., Kersten, M., Palm, J. and Griswold, W. G. (2001). ‘Getting 
Started with Aspect)’. Comm. ACM, 44 (10), 59-65. 


Kotonya, G. and Sommerville, |. (1996). ‘Requirements engineering with viewpoints’. 
BCSAEE Software Eng. J., 11 (1), 5-18. 


Laddad, R. (20034). Aspect) in Action. Greenwich, Conn.: Manning Publications Co. 


Laddad, R. (2003b). Aspect) in Action: Practical Aspect-Oriented Programming. Greenwich, 
Conn.: Manning Publications. 


Sommerville, |. and Sawyer, P. (1997). ‘Viewpoints: principles, problems and a practical approach 


to requirements engineering'. Annals of Software Engineering, 3 101-30. 


Sommerville, 1., Sawyer, P. and Viller, S. (1998). ‘Viewpoints for requirements elicitation: a practical 
approach’. 3rd Int. Conf. on Requirements Engineering. Colorado: IEEE Computer Society Press, 74-81. 


| 第 四 部 分 


Software Engineering, 9E 


软件 管理 





在 前 面 已 经 提 到 过 ， 软 件 工程 与 其 他 类 型 的 程序 设计 的 重要 不 同 在 于 软 
件 工程 是 一 个 管理 过 程 ， 希 望 读者 了 解 软件 开发 发 生 在 机 构 内 部 并 受到 进度 
安排 、 预 算 以 及 其 他 一 些 机 构 约束 的 控制 。 因 而 管 理 对 于 软件 工程 来 说 是 非 
常 重要 的 。 此 部 分 介绍 一 系列 的 管理 话题 ， 着 重 介 绍 技术 管理 问题 ， 而 不 是 
“更 软 ” 的 人 的 管理 问题 或 是 更 战略 性 的 企业 管理 问题 。 

第 22 章 介绍 软件 项 目 管理 和 它 的 最 重要 的 风险 管理 部 分 。 与 项 目 规划 
一 样 ， 风 险 管 理 ， 即 管理 者 识别 什么 会 出 现 问题 以 及 给 出 在 出 现 问题 时 如 何 
做 的 计划 ， 这 是 项 目 管理 职责 的 重要 方面 。 这 一 章 也 介绍 部 分 人 的 管理 和 团 
队 协 作 方 面 的 一 些 内 容 。 

第 23 章 介绍 项 目 规划 和 估计 。 本 章 把 条 形 图 作为 基本 规划 工具 并 解释 
为 什么 计划 驱动 的 开发 将 继续 是 一 个 重要 的 开发 方法 ， 尽 管 敏捷 方法 也 很 成 
功 。 此 外 ， 还 将 讨论 影响 系统 定价 的 一 些 问 题 以 及 软件 成 本 估计 的 技术 ,并 
使 用 COMOCO 成 本 模型 族 来 描述 算法 成 本 建 模 并 解释 此 方法 的 优点 和 缺点 。 

第 2 -26 章 是 关于 质量 管理 的 问题 。 质 量 管理 是 关于 确保 和 改善 软件 质量 
的 过 程 和 技术 ， 第 24 章 介 绍 此 话题 ， 讨 论 质 量 管理 标准 的 重要 性 ， 如 何在 质量 
保证 过 程 中 使 用 复查 和 审查 技术 ， 以 及 软件 度量 在 质量 管理 中 的 作用 。 

第 25 章 讨论 配置 管理 。 这 是 一 个 对 所 有 由 团队 开发 的 大 型 系统 都 很 重 
要 的 问题 。 然 而 ， 对 配置 管理 的 需要 对 于 那些 只 知道 一 点 个 人 软件 开发 的 学 
生来 说 并 不 总 是 很 明显 的 。 所 以 在 此 描述 配置 管理 的 各 个 方面 ， 包 括 配 置 规 
划 、 版 本 管理 、 系 统 构建 以 及 变更 管理 。 

最 后 ， 第 26 章 介 绍 软件 过 程 改善 ， 即 如 何 修改 过 程 以 便 产 品 和 过 程 属 
性 都 能 够 得 到 改善 ? 本 章 讨论 一 般 过 程 改 善 过 程 的 各 个 阶段 ， 即 过 程度 量 、 
过 程 分 析 和 过 程 变更 。 然 后 继续 介绍 在 过 程 改 善 中 应 用 SEI 的 基于 能 力 的 方 
法 ， 并 简要 解释 能 力 成 熟 度 模型 。 
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目标 

本 章 的 目的 是 介绍 软件 项 目 管理 和 两 项 重要 的 管理 活动 ， 即 风险 管理 和 人 员 管 理 ， 通 过 阅 
读本 章 ， 你 将 了 解 以 下 内 容 : 

a 软件 项 目 管理 者 的 主要 任务 ; 

a 风险 管理 的 概念 以 及 在 软件 项 目 中 可 能 出 现 的 一 些 风险 ; 

理解 影响 工作 动力 的 因素 以 及 这 些 因 素 对 软件 项 目 管理 者 的 意义 ; 

m 理解 影响 团队 协作 的 主要 问题 ， 比 如 团队 的 构成 、 团 队 的 组 织 和 团队 的 沟通 。 


软件 项 目 管理 是 软件 工程 的 一 个 重要 组 成 部 分 。 我 们 需要 软件 项 目 管理 是 因为 专业 的 软件 
工程 总 是 要 受 预算 和 工程 进度 的 制约 。 软 件 项 目 管理 者 的 任务 是 确保 软件 项 目 满足 和 服从 这 些 约 
束 ， 并 确保 交付 高 质量 的 软件 产品 。 好 的 管理 不 能 确保 项 目 成 功 ， 但 是 ， 不 好 的 管理 是 注定 要 带 
来 项 目的 失败 : 软件 常常 不 能 按期 完成 ， 成 本 是 预期 的 几 倍 ， 或 者 不 能 满足 客户 的 要 求 。 

项 目 管理 成 功 的 标准 对 于 不 同 的 项 目 很 显然 是 不 同 的 ， 但 是 对 于 大 多 数 项 目 来 说 ， 最 重要 
的 目标 是 : 

1. 在 约定 的 时 间 将 软件 产品 交付 给 客户 

2. 将 全 部 成 本 控制 在 预算 之 内 ; 

3. 交付 的 软件 产品 满足 客户 的 要 求 ; 

4. 保持 一 个 愉悦 并 且 运 作 良好 的 开发 团队 。 

这 些 目标 不 只 是 软件 工程 所 独 有 的 ， 也 是 所 有 工程 项 目的 目标 。 然 而 ， 软 件 工程 管理 与 其 他 
的 工程 管理 相 比 ， 在 很 多 方面 有 显著 的 区 别 ， 这 样 使 得 软件 工程 管理 具有 相当 大 的 难度 。 以 下 列 
出 了 软件 工程 管理 的 一 些 不 同 之 处 : | 

L 软件 产品 是 无 形 的 ”对 于 像 造 船 或 其 他 一 般 的 民用 工程 项 目 ， 其 管理 者 能 够 看 见 正在 制 
造 的 产品 。 如 果 进 度 眼 不 上 ， 就 能 从 产品 的 现状 看 出 来 ， 整 个 结构 中 的 某 些 部 分 很 明显 是 未 完工 
的 。 而 软件 产品 是 无 形 的 ， 看 不 见 摸 不 着 。 软 件 项 目 管理 者 不 能 依靠 简单 的 查看 正在 开发 的 产品 
来 了 解 进展 情况 。 在 一 定 程度 上 ， 他 们 只 能 依靠 其 他 人 提供 信息 来 掌握 工作 进度 。 

2. 大 型 软件 项 目 常常 是 “一 次 性 的 ”项 目 ”大 型 软件 项 目 在 很 多 方面 都 不 同 于 早先 的 
项 目 ， 因 而 管理 者 纵然 有 通过 计划 降低 不 确定 性 的 经 验 ， 也 很 难 预 见 将 出 现 的 问题 。 此 外 ， 
计算 机 和 通信 技术 飞速 发 展 ， 早 先 的 经 验 很 快 变 得 过 时 了 ， 其 中 的 教训 不 能 在 新 的 项 目 中 
发 挥 作用 。 

3. 软件 开发 过 程 是 可 变 的 和 机 构 特定 的 ”对 于 某 些 系统 ， 比 如 桥梁 和 建筑 等 类 型 的 工 
程 过 程 我 们 已 经 了 如 指 掌 。 然 而 ， 软 件 开发 的 过 程 对 于 不 同 的 机 构 来 说 是 相当 不 同 的 。 虽 
然 我 们 在 过 程 标准 化 和 过 程 优化 方面 已 经 取得 了 很 大 的 进步 ， 但 是 我 们 还 不 能 确切 地 预见 
某 一 软件 过 程 何 时 有 可 能 出 现 问题 。 特 别 当 这 个 软件 项 目 是 某 个 更 大 的 系统 工程 项 目的 一 
部 分 时 尤为 明显 。 

基于 以 上 这 些 原因 ， 一 些 软 件 项 目 延 期 、 超 出 预算 、 进 度 慢 也 就 不 足 为 奇 了 。 软 件 系统 往往 
是 全 新 的 而 且 技 术 上 也 有 所 创新 。 具 有 创新 性 的 工程 项 目 ( 例 如， 新 的 运输 系统 ) 也 经 常会 存 
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在 进度 问题 。 一 旦 出 现 困难 ， 软 件 项 目的 按期 、 按 预算 完成 就 会 变 得 几乎 不 太 可 能 。 

软件 管理 者 的 工作 内 容 没有 一 定 的 标准 。 开 发 机 构 和 开发 的 软件 产品 决定 着 管理 工作 的 内 
容 。 尽 管 如 此 ， 绝 大 多 数 管理 者 要 在 某 些 阶 段 对 下 列 部 分 或 全 部 活动 负 起 责任 : 

L 项 目 规划 ”项目 管理 者 负责 规划 、 评 估 以 及 调度 项 目 开发 ， 并 给 人 员 分 配 任务 。 他 们 监 
督 工作 确保 工作 是 按 要 求 的 标准 进行 ， 并 且 监 督 开 发 过 程 ， 检 查 开发 是 否 按时 进行 以 及 是 否 在 
预算 之 内 。 

2. 工作 报告 项目 管理 者 通常 有 责任 向 客户 和 开发 此 软件 的 公司 的 经 理 汇报 项 目 进 展 情 
况 。 他 们 必须 能 够 进行 各 个 层次 的 交流 ， 从 详尽 的 技术 细节 到 概要 的 管理 总 结 。 项 目 管理 者 
必须 能 从 详细 的 项 目 报告 中 抽出 重要 的 信息 ， 写 成 简明 、 一 致 的 文档 ， 并 在 项 目 评审 时 陈述 
出 来 。 

3. 风险 管理 ”项 目 管理 者 必须 评估 并 且 监 测 某 些 可 能 影响 项 目的 风险 ,并 在 问题 出 现时 立 
刻 采 取 行动 。 

4 AREE “项目 管 理 者 负责 管理 一 个 团队 。 他 们 必须 为 他 们 的 团队 挑选 人 员 并 且 建 立 能 
够 使 团队 高 效 运作 的 工作 方式 。 

5， 提 出 书面 建议 软件 项 目的 第 一 个 阶段 可 能 要 写 出 完成 该 项 目的 建议 书 ， 在 建议 书 中 要 
写 清楚 项 目的 目标 和 实现 该 目标 的 方法 ， 通 常 还 要 估算 出 项 目的 成 本 和 进度 ， 有 时 还 要 说 明 应 
该 与 某 一 特定 的 机 构 或 团队 签约 的 理由 。 建 议 书 的 写作 非常 重要 ， 许 多 软件 公司 之 所 以 生存 下 来 
是 因为 他 们 保持 有 大 量 的 建议 书 和 合同 。 写 建议 书 没有 固定 的 格式 以 供 参考 ， 它 是 一 种 来 自 长 
期 实践 和 经 验 的 技巧 。 。 

本 章 主要 介绍 风险 管理 和 人 员 管理 。 项 目 规划 是 一 项 重要 的 课题 ， 将 在 第 23 章 讨论 。 


22.1 风险 管理 


能 预见 可 能 影响 正 开发 的 软件 的 项 目 进度 或 产品 质量 的 风险 ， 并 采取 行动 避免 这 些 风险 ， 
是 项 目 管理 者 的 一 项 重要 任务 (Hall, 1998; Ould, 1999), 。 可 以 把 风险 看 做 是 一 些 可 能 实际 发 
生 的 不 利 因素 。 风 险 可 能 危及 整个 项 目 、 正在 开发 的 软件 或 者 开发 机 构 。 这 些 风 险种 类 可 以 定义 
如 下 : 

1. 项 目 风险 ”是 影响 项 目 进度 或 项 目 资源 的 风险 。 比 如 失去 一 位 经 验 丰 富 的 设计 师 。 寻 找 
一 位 经 验 和 技能 满足 要 求 的 替代 者 可 能 需要 很 长 一 段 时 间 ， 而 这 带 来 的 直接 后 果 就 是 软件 的 设 
计 和 需要 更 长 的 时 间 才 能 完成 。 

2. 产品 风险 ”是 影响 开发 中 软件 的 质量 或 性 能 的 风险 。 例 如 ， 购 买 的 组 件 不 能 达到 预期 目 
标 。 这 可 能 会 影响 到 整个 系统 的 性 能 ， 导 致 整个 系统 运行 速度 下 降 。 

3. 业务 风险 是 影响 软件 开发 机 构 或 软件 产品 购买 机 构 的 风险 。 例 如 ， 竞 争 对 手 推 出 了 新 
的 产品 。 竞 争 产品 的 推出 可 能 预示 着 先前 做 出 的 关于 现 有 软件 产品 的 销售 情况 可 能 过 于 乐观 。 

当然 ， 这 种 分 类 方式 会 有 重 释 。 如 果 富 有 经 验 的 程序 设计 师 离职 ， 由 此 带 来 的 风险 可 能 是 项 
目 风险 。 即 使 能 立刻 找到 替代 人 员 ， 进 度 也 将 受到 影响 。 新 来 的 项 目 成 员 不 可 避免 要 花 一 些 时 间 
来 熟悉 这 个 项 目 ， 并 不 能 立刻 高 效 地 投入 工作 。 因 此 ， 系 统 的 交付 可 能 延期 。 同时 这 也 会 是 产品 
风险 ， 因 为 继任 者 可 能 不 如 前 者 有 经 验 ， 因 而 可 能 犯错 误 。 最 后 ， 它 也 会 是 业务 风险 ， 因 为 有 经 
验 的 程序 员 是 取得 新 的 合同 的 关键 。 

项 目 经 理应 该 将 风险 分 析 的 结果 以 及 相应 的 后 果 ， 包 括 对 项 目的 风险 后 果 ， 对 产品 的 风险 
后 果 以 及 对 业务 的 风险 后 果 ， 写 到 项 目 计划 中 。 有 效 的 风险 管理 能 够 使 项 目 管理 者 对 未 来 出 现 
的 问题 处 理 自如 ， 并 保证 这 些 风险 不 会 导致 不 可 接受 的 预算 和 进度 偏差 。 

项 目的 风险 类 型 取决 于 项 目 本 身 的 特点 和 软件 开发 的 机 构 环境 。 然而 有 许多 共同 的 风险 
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不 依赖 于 开发 的 软件 的 种 类 ， 即 风险 可 能 发 生 在 任何 项 目 中 。 图 22-1 给 出 了 其 中 的 一 部 分 共 
同 的 风险 。 





描述 延迟 项 目 和 产品 “| 有 关 主 要 的 接口 的 描述 未 按期 完成 
低估 了 系统 规模 项 目 和 产品 | 过 低估 计 了 系统 的 规模 


CASE 工具 性 能 较 差 | 产品 支持 项 目的 CASE 工具 达 不 到 要 求 
技术 变更 业务 系统 的 基础 技术 被 新 技术 取代 
产品 竞争 业务 系统 还 未 完成 ,其 他 有 竞争 力 的 产品 就 已 经 上 市 了 


图 22-1 常见 的 项 目 、 产 品 和 业务 风险 的 实例 


风险 管理 对 软件 项 目 而 言 尤为 重要 ， 因 为 绝 大 多 数 项 目 都 存在 固有 的 不 确定 性 。 这 些 不 确 
定性 产生 于 ; 宽泛 定义 的 需求 《需求 随 客户 要 求 的 改变 而 改变 ) ， 对 软件 开发 所 需 时 间 和 资源 估 
算 的 困难 ， 以 及 项 具 组 成 员 技术 上 的 差异 性 。 项 目 管 理 者 应 该 预见 风险 ， 了 解 这 些 风险 对 项 目 、 
产品 和 业务 的 冲击 ， 并 采取 措施 规避 这 些 风险 。 可 以 制定 应 急 计 划 ， 这 样 一 旦 风险 来 临 ， 才 有 可 
能 采取 快速 防御 行动 。 

图 22-2 是 说 明 风 险 管 理 过 程 的 略图 ， 该 过 程 包 括 以 下 几 个 阶段 : 

1. 风险 识别 ”识别 可 能 的 项 目 风 险 、 产 品 风 险 和 业务 风险 。 

2. 风险 分 析 ”评估 这 些 风 险 出 现 的 可 能 性 及 其 后 果 。 

3. 风险 规划 ”制定 计划 说 明 如 何 规避 风险 或 最 小 化 风险 对 项 目的 影响 。 

4. 风险 监控 ”定期 对 风险 和 缓解 风险 的 计划 进行 评估 ， 并 随 着 有 关 风 险 信息 的 增多 及 时 修 
正 缓解 风险 的 计划 。 




















优先 级 高 的 
潜在 的 风险 列表 风险 列表 





图 22-2 ”风险 管理 过 程 
风险 管理 过 程 的 结果 应 该 记录 在 风险 管理 计划 中 ， 具体 包括 : 对 项 目 所 面临 的 风险 的 讨论 ， 
对 这 些 风险 的 分 析 ， 以 及 当 风 险 可 能 成 为 一 个 现实 问题 时 管理 这 些 风险 的 建议 。 
风险 管理 过 程 也 是 一 个 贯穿 项 目 全 过 程 的 迭代 进行 的 过 程 ， 从 最 初 的 计划 制定 开始 ， 项 目 
就 处 于 被 监控 状态 以 检测 可 能 出 现 的 风险 。 随 着 有 关 风 险 的 信息 的 增多 ， 需 要 重新 进行 分 析 ， 重 
新 确定 风险 的 优先 级 。 对 风险 规避 和 应 急 计划 要 进行 修正 。 
22.1.1 风险 识别 


风险 识别 是 风险 管理 的 第 一 阶段 。 这 一 阶段 主要 是 发 现 可 能 对 软件 工程 过 程 、 正 在 开发 的 
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软件 或 者 开发 机 构 产 生 重 大 威胁 的 风险 。 风 险 识别 可 以 通过 项 目 组 对 可 能 的 风险 的 集体 讨论 完 
成 。 或 者 只 凭借 管理 者 的 经 验 识别 最 可 能 或 者 最 关键 的 风险 。 
作为 风险 识别 的 开始 ， 需 要 列 出 可 能 的 风险 类 型 。 这 些 类 型 包括 : 
.技术 风险 ” 源 于 开发 系统 的 软件 技术 或 硬件 技术 的 风险 。 
ABE 与 软件 开发 团队 的 成 员 有 关 的 风险 。 
机 构 风 险 ” 源 于 软件 开发 的 机 构 环境 的 风险 。 
工具 风险 ” 源 于 软件 工具 和 其 他 用 于 系统 开发 的 支持 软件 的 风险 。 
. 需求 风险 ” 源 于 客户 需求 的 变更 和 需求 变更 的 处 理 过 程 的 风险 。 
.估算 风险 ” 源 于 对 构建 系统 所 项 资源 进行 估算 的 风险 。 
图 22-3 对 上 述 每 一 种 风险 者 给 出 了 可 能 的 风险 实例 。 风 险 识别 过 程 的 结果 应 该 是 列 出 一 长 
串 可 能 发 生 的 风险 ， 这 些 风险 可 能 影响 到 软件 产品 、 过 程 或 业务 。 紧 接着 , 需要 削减 风险 列表 到 
便于 管理 的 程度 为 止 。 实 际 工作 中 是 不 可 能 关注 过 多 的 风险 的 。 


Awe wn > 












系统 使 用 的 数据 库 的 处 理 速度 不 够 快 
要 复 用 的 软件 组 件 有 缺陷 , 限制 了 项 目的 功能 


招聘 不 到 符合 项 目 技术 要 求 的 职员 
在 项 目的 非常 时 期 , 关键 性 职员 生病 , 不 能 发 挥 作用 
职员 所 需 的 培训 跟 不 上 


重新 进行 机 构 调 整 ， 由 不 同 的 管理 层 负责 这 个 项 目 
开发 机 构 的 财务 出 现 问题 ， 必 须 前 减 项 目 预算 


CASE 工具 产生 的 编码 效率 低 
CASE 工具 不 能 被 集成 


需求 发 生变 化 , 主体 设计 要 返工 
客户 不 了 解 需求 变更 对 项 目 造 成 的 影响 
低估 了 软件 开发 所 需要 的 时 间 


低估 了 缺陷 的 修补 率 
低估 了 软件 的 规模 






































图 22-3 不 同 风险 类 型 实例 


22. 1.2 风险 分 析 


在 进行 风险 分 析 时 ， 要 逐一 考虑 每 个 已 经 识别 出 的 风险 ， 并 对 风险 出 现 的 可 能 性 和 严重 性 
做 出 判断 。 在 此 方面 没有 捷径 可 走 ， 只 能 依靠 项 目 管理 者 的 主观 判断 和 之 前 项 目 获得 的 经 验 。 风 
险 评估 (可 能 性 、 严 重 性 ) 的 结果 一 般 不 是 精确 的 数字 ， 而 是 一 个 范围 ， 

L 对 风险 出 现 的 可 能 性 进行 评估 ， 可 能 的 结果 有 风险 出 现 的 可 能 性 非常 低 ( <10% )、 低 
(10% ~25% )、 中 等 ( 25% ~50% )、 高 ( 50% ~75% ) 或 非常 高 〈 >75% )。 

2. 对 风险 的 严重 性 进行 评估 ， 可 能 的 结果 有 灾难 性 的 (严重 威胁 项 目的 存活 ) 、 严 重 的 
(可 能 引起 很 大 的 延迟 )、 可 以 容忍 的 (可 能 引起 小 的 延迟 ) 和 可 以 忽略 的 。 

风险 分 析 过 程 结束 后 ， 应 该 根据 风险 严重 程度 的 大 小 按 顺 序 制 成 表格 。 图 22-4 是 对 图 22.3 
中 已 识别 的 风险 进行 分 析 ， 得 出 结果 后 做 成 的 表格 。 很 显然 ， 这 里 对 可 能 性 和 严重 性 的 评估 有 些 
武断 。 为 了 做 好 这 项 评估 ， 项目 经 理 需 要 根据 来 自 项 目 、 过 程 、 开发 团队 和 机 构 状 况 等 有 关 更 详 
细 的 信息 进行 评估 。 
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[. | m om 出 现 的 可 能 性 z] 
| 开发 机 构 的 财务 出 现 问题 ,必须 削减 项 目 预算 小 灾难 性 
招聘 不 到 符合 项 目 技术 要 求 的 职员 大 灾难 性 









中 等 





在 项 目的 非常 时 期 , 关键 性 职员 生病 
要 复 用 的 软件 组 件 有 缺陷 ,限制 了 项 目的 功能 
需求 发 生变 化 , 主体 设计 要 返工 
LE 由 新 的 管理 层 负责 该 项 目 
系统 使 用 的 数据 库 的 处 理 速度 不 够 快 
























CASE 工具 不 能 被 集成 
客户 不 了 解 需求 变更 对 项 目 造成 的 影响 
职员 所 需 的 培训 跟 不 上 
低估 了 缺陷 的 修补 率 
低估 了 软件 的 规模 



























CASE 工具 产生 的 编码 效率 低 中 等 | 可 以 忽略 





图 22-4 风险 类 型 和 实例 


当然 ， 随 着 有 关 风 险 的 可 用 信息 的 增多 和 风险 管理 计划 的 实施 ， 一 项 风险 出 现 的 可 能 性 和 
对 这 一 风险 的 影响 后 果 的 评估 都 可 能 改变 。 因 此 ， 这 个 表格 必须 在 风险 过 程 的 每 个 迭代 期 间 得 
到 更 新 。 

风险 一 经 分 析 和 排序 ， 下 一 步 就 该 判断 哪些 风险 是 最 重要 的 ， 这 是 在 项 目 期 间 必须 考虑 的 。 
做 出 以 上 判断 必须 综合 考虑 风险 出 现 的 可 能 性 大 小 和 该 风险 的 影响 后 果 。 一 般 而 言 ， 所 有 灾难 
性 的 风险 都 是 必须 考虑 的 ， 所 有 出 现 的 可 能 性 超过 中 等 、 影 响 严重 的 风险 同样 要 给 予 认 真 对 待 。 

Boehm (1988) 曾 建 议 识 别 和 监控 “前 10 位 ”风险 ， 我 认为 这 个 数字 有 点 太 过 绝对 化 ， 必 须根 
据 项 目 自身 的 情况 确定 要 进行 监控 的 风险 的 数量 。 可 能 是 5 个 ， 也 可 能 是 15 个 。 但 是 ， 选 出 的 接 
受 监控 的 风险 的 数目 应 该 便于 管理 。 所 管理 的 风险 数量 太 大 时 需要 收集 十 分 可 观 的 信息 。 在 图 22-4 
已 识别 的 风险 中 ， 考 虑 具有 灾难 性 或 严重 后 果 的 总 共 8 种 风险 已 经 足够 了 ( 见 图 22-5)。 


22.1.3 ”风险 规划 


在 风险 规划 过 程 中 ,项 目 管理 者 要 考虑 已 经 识别 出 的 每 一 个 重大 风险 ， 并 确定 处 理 这 
些 风险 的 策略 。 对 于 每 个 风险 来 说 ,必须 思考 一 旦 某 个 风险 发 生 时 所 需要 采取 的 行动 ， 使 
其 对 项 目的 干扰 最 小 化 。 同 时 ， 应 该 考虑 在 监控 项 目 时 需要 收集 哪些 信息 ， 用 于 预测 可 能 
发 生 的 问题 。 制 定 风险 规划 计划 同样 没有 捷径 可 走 ， 同 样 要 依靠 项 目 管理 者 的 判断 和 自身 
经 验 。 

图 225 给 出 了 处 理 图 22-4 中 重大 风险 (严重 的 ， 或 不 能 容忍 的 ) 的 可 能 的 策略 。 这 些 策略 
分 为 以 下 3 类 : 

l. 规避 策略 采用 这 些 策略 就 会 降低 风险 出 现 的 可 能 性 。 图 22-5 中 处 理 有 缺陷 的 组 件 策略 
就 是 一 个 例子 。 ' 

2. 最 小 化 策略 ”采用 这 些 策略 就 会 减 小 风险 的 影响 。 图 22-5 中 解决 职员 生病 问题 的 策略 就 
属于 这 一 种 。 
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3. 应 急 计划 ”采用 这 些 策略 ， 就 算 最 坏 的 事情 发 生 ， 我 们 也 是 有 备 而 来 ， 有 适当 的 对 策 处 
理 它 。 图 22-5 中 应 对 机 构 的 财务 问题 的 策略 就 属于 这 一 类 。 

































Rom 策 oM 
机 构 的 财务 问题 拟 一 份 简短 的 报告 , 提交 高 级 管理 层 , 说 明 这 个 项 目 将 对 业务 目标 有 重大 贡献 
职员 招聘 问题 告诉 客户 项 目 潜在 的 困难 和 延迟 的 可 能 性 , 检查 要 买 进 的 组 件 
职员 生病 问题 重新 对 团队 进行 组 织 , 使 更 多 工作 有 重合 , 员工 可 以 了 解 他 人 的 工作 











用 买 进 的 可 靠 性 稳定 的 组 件 更 换 有 潜在 缺陷 的 组 件 
导出 可 追溯 信息 来 评估 需求 变更 带 来 的 影响 , 把 隐藏 在 设计 中 的 信息 扩大 化 
拟 一 份 简 短 的 报告 , 提交 高 级 管理 层 , 说 明 这 个 项 目 将 对 业务 目标 有 重大 贡献 
数据 库 的 性 能 研究 一 下 购买 高 性 能 数据 库 的 可 能 性 


低估 开发 时 间 对 要 买 进 的 组 件 、 程 序 生成 器 的 效用 进行 检查 


图 22-5 ”风险 管理 策略 


读者 可 以 看 到 此 处 与 在 要 求 极 高 的 系统 中 为 确保 可 依赖 性 、 信 息 安 全 性 和 安全 性 所 采取 策 
略 的 相似 之 处 ， 都 必须 避免 、 容 忍 失败 以 及 从 失败 中 恢复 。 显 然 ， 最 好 是 使 用 规避 风险 的 策略 。 
如 果 这 办 不 到 的 话 ， 就 采取 降低 那些 会 导致 严重 后 果 的 风险 的 发 生 概率 的 策略 (最 小 化 策略 ) 。 
最 后 ， 必 须 有 成 熟 的 应 急 策略 以 应 对 这 些 可 能 出 现 的 风险 ， 以 此 降低 在 项 目 或 产品 上 的 总 的 风 
险 影响 。 1 


22. 1.4 风险 监控 


风险 监控 就 是 检查 之 前 对 产品 、 过 程 以 及 业务 风险 的 假设 是 否 改变 的 过 程 。 必 须要 对 每 一 
个 识别 的 风险 定期 进行 评估 ， 从 而 确定 风险 出 现 的 可 能 性 是 变 大 了 还 是 变 小 了 ， 风 险 的 影响 后 
果 是 否 有 所 改变 。 为 了 达到 这 个 目的 ， 必 须 关注 能 提供 有 关 风 险 可 能 性 及 其 影响 后 果 信 息 的 其 
他 因素 ， 比 如 需求 变更 的 数量 。 它 能 给 出 风险 概率 和 风险 影响 的 线索 。 显 然 ， 具 体 有 哪些 因素 取 
决 于 风险 的 类 型 。 图 22-6 举 出 上 述 因素 的 一 些 例子 ， 可 能 会 对 评估 这 些 风 险 类 型 有 帮助 。 


有 缺陷 的 组 件 
















































IT 
员工 士气 低迷 ,团队 成 员 的 关系 不 协调 , 工作 分 配 不 当 
| 机 构 内 说 三 道 四 ,缺乏 资深 管理 
工具 | 团队 成 员 不 愿 使 用 工具 , FUB CASE 工具 ,需要 更 强大 的 工作 站 
















需求 很 多 需求 变更 请 求 和 客户 怨言 
估算 ' 跟 不 上 双方 协商 的 进度 ,无 法 除 掉 暴露 出 来 的 缺陷 





图 22-6 风险 因素 


风险 监控 应 该 是 一 个 持续 不 断 的 过 程 ， 在 每 一 次 对 风险 管理 进行 评审 时 ， 每 一 个 重大 风险 
都 应 该 单独 评审 并 在 会 上 进行 讨论 。 项 目 管理 者 应 该 判断 风险 出 现 的 可 能 性 是 变 大 还 是 变 小 了 
以 及 风险 的 严重 性 和 后 果 是 否 也 发 生 了 变化 。 


22.2 人 员 管 理 
对 于 一 个 软件 机 构 来 说 ， 人 是 这 个 机 构 中 最 重要 的 资产 。 招 募 和 留 住 好 的 员工 是 需要 巨大 
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开支 的 ， 软 件 管理 者 最 终 决定 着 机 构 能 确保 从 对 员工 的 投资 中 获取 最 大 的 回报 。 成 功 的 公司 和 
经 济 实体 尊重 它们 的 员工 ， 并 且 在 对 他 们 的 任务 分 配 上 体现 他 们 的 技能 和 经 验 的 价值 ， 以 此 达 
到 上 述 目标 。 

软件 项 目的 管理 者 对 影响 软件 开发 工作 的 技术 问题 的 理解 是 很 重要 的 。 然 而 不 幸 的 是 ， 好 
的 软件 工程 师 并 不 一 定 是 好 的 人 力 资 源 管 理 者 。 软 件 工 程 师 通 常 拥 有 娴熟 的 技术 技巧 ， 但 是 却 
缺乏 能 够 激励 和 领导 项 目 开 发 团队 的 软 技 术 。 作 为 项 目 管 理 者 ， 应 该 意识 到 人 员 管 理 的 潜在 问 
题 ， 并 且 应 该 尝试 不 断 提高 自身 在 人 员 管理 方面 的 技巧 。 

在 人 员 管 理 方面 有 4 个 关键 要 素 : 

|. 一致 性 对 项 目 组 的 每 个 人 应 该 同等 对 待 。 昌 然 没 有 人 会 期 望 每 个 人 的 报酬 都 相同 ， 但 
是 却 能 感觉 自己 对 机 构 的 贡献 遭 到 低估 。 

2. 尊重 不 同 的 人 有 着 不 同 的 技能 ， 管 理 者 应 尊重 这 些 差异 。 团 队 的 所 有 成 员 都 应 有 机 会 
做 出 贡献 。 当 然 在 某 些 情况 下 你 会 发 现 某 个 人 根本 不 适合 在 这 个 团队 ， 所 以 也 不 能 够 继续 下 去 ， 
但 重要 的 是 不 要 匆忙 得 出 这 样 的 结论 。 

3. 包容 ” 当 人 们 觉得 其 他 人 能 够 倾听 并 能 采纳 自己 的 建议 时 ， 他 们 能 更 有 效 地 工作 。 很 重 
要 的 一 点 是 创造 一 种 工作 环境 ， 在 这 种 工作 环境 下 ， 所 有 的 见解 ， 甚 至 是 最 底层 员工 的 意见 都 会 
得 到 考虑 。 

4. 诚实 ”作为 一 个 管理 者 ， 必 须 对 项 目 组 中 好 的 情况 和 不 好 的 情况 保持 诚实 的 态度 。 应 当 
诚实 地 对 待 自己 的 技术 知识 水 平 ， 并 且 在 必要 的 时 候 乐于 服从 更 博学 的 员工 。 如 果 掩 盖 存在 的 
问题 和 自己 的 无 知 ， 最 终 将 被 发 现 并 且 失 去 团队 的 尊敬 。 

在 作者 看 来 ， 人 员 管 理 只 能 从 实际 经 验 中 学 ， 而 不 是 从 书本 中 学 。 本 节 和 下 一 节 (团队 协 
作 ) 的 目的 在 于 介绍 能 够 影响 软件 项 目 管理 的 一 些 最 重要 的 人 员 和 团队 管理 问题 。 希 望 这 些 资 
料 能 让 管理 人 员 意 识 到 当 管 理 一 群 技术 上 有 天 赋 的 人 所 组 成 的 团队 时 可 能 遇 到 的 一 些 问题 。 


工作 动力 


项 目 管理 者 需要 激励- -起 工作 的 员工 ， 使 他 们 能 尽心 尽力 。 激 励 意味 着 在 协调 工作 和 提供 
良好 工作 环境 方面 能 使 员工 尽 可 能 更 有 效率 地 工作 。 如 果 员工 没有 被 激励 起 来 ， 他 们 将 失去 对 
正在 从 事 的 工作 的 兴趣 ， 工 作 进 度 会 很 缓慢 ， 会 更 容易 犯错 误 ， 并 且 不 能 对 团队 或 机 构 长 远 的 目 
标 有 所 贡献 。 

为 了 达到 激励 员工 的 目的 ， 需 要 理解 什么 才能 激励 员工 。Maslow (1954) 建议 通过 满足 人 的 - 
需求 来 激励 他 们 ， 这 些 需求 被 划分 成 -系列 层次 ， 如 图 22 所 示 。 这 里 较 低 的 层次 表示 基本 的 
需求 ， 如 对 食物 、 睡 眠 等 的 需求 ， 还 有 在 某 一 环境 下 对 安 
全 的 需求 。 社 会 需求 是 指 对 某 -社会 群体 的 认同 感 。 受 苯 
重 需 求 是 指 得 到 其 他 人 的 尊重 ， 自 我 实现 的 需求 是 指 个 人 AR 
发 展 。 人 类 首先 要 满足 低层 次 的 需求 ， 如 饥饿 ， 然 后 是 更 
抽象 更 高 层次 的 需求 。 — 


软件 开发 机 构 中 的 员工 根本 没有 饥 渴 问题 ， 一 般 也 不 
会 感受 到 环境 对 身体 的 威胁 。 因 此 ， 确 保 社会 需求 、 受 尊 


重 需求 和 自我 实现 需求 的 满足 ， 从 管理 的 观点 来 看 是 最 有 
意义 的 : 图 22-7 人 的 需求 层次 

1. 满足 员工 的 社会 需求 ， 就 是 给 员工 提供 与 同事 交往 的 时 间 和 场所 。 当 所 有 开发 团队 成 员 
在 一 个 地 方 工作 时 ， 这 种 需求 相对 较 容易 满足 ， 但 越 来 越 多 的 团队 成 员 并 不 在 同一 个 建筑 物 中 
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工作 ， 甚 至 不 在 同一 个 城市 或 一 个 国家 内 。 他 们 可 能 同时 在 为 多 家 公司 服务 ， 还 可 能 绝 大 多 数 时 
间 里 是 在 家 工作 。 

社交 网 络 系统 和 电话 会 议 可 使 交流 变 得 更 便捷 ， 但 以 作者 的 经 验 来 看 ， 电 子 系统 只 有 当 人 
们 互相 认识 的 情况 下 使 用 才 最 有 效 。 所 以 ,在 项 目的 初期 应 当 安 排 定期 的 面对面 的 会 议 ， 以 使 人 
们 能 够 直接 与 团队 的 其 他 成 员 进 行 交流 。 通 过 这 种 直接 交流 ， 人 们 成 为 这 个 团队 的 一 部 分 ， 并 理 
解 团 队 的 目标 和 重点 。 

2. 为 了 满足 员工 的 受 尊 重 需要 ， 应 该 让 员工 们 感觉 到 他 们 在 开发 机 构 中 很 受 尊重 。 对 员工 
做 出 的 成 绩 给 予 认同 就 是 一 种 简便 有 效 的 方式 。 显 然 ， 也 必须 让 员工 们 感觉 到 为 他 们 所 支付 的 
报酬 能 够 反映 出 他 们 的 能 力 和 经 验 的 价值 。 

3. 最 后 ， 为 了 满足 员工 的 自我 实现 需要 ， 应 该 让 员工 对 自己 的 工作 负 起 责任 ,分 配给 他 们 
比较 难 的 《但 不 是 不 能 完成 的 ) 任务 ， 并 给 他 们 提供 培训 计划 以 提高 他 们 的 技能 。 因 为 员工 喜 
欢 学 习 新 的 知识 和 技能 ， 所 以 培训 是 一 项 重要 的 激励 方式 。 

图 22-8 说 明了 一 个 管理 者 通常 不 得 不 面 对 的 关于 工作 动力 的 问题 。 在 这 个 例子 中 ， 一 个 非 
常 有 能 力 的 小 组 成 员 对 工作 和 小 组 都 失去 了 兴趣 。 于 是 ， 其 工作 的 质量 开始 下 降 ， 变 得 不 可 接 
受 。 这 种 情况 必须 尽快 得 到 处 理 。 如 果 不 能 解决 这 一 问题 ， 小 组 的 其 他 成 员 将 会 开始 不 满 ， 党 得 
受到 不 公平 的 待遇 。 








案例 分 析 : 动力 
Alice 是 个 软件 项 目 经 理 ， 她 所 在 的 公司 主要 研发 报警 系统 。 公 司 最 近 试图 渗透 到 发 展 很 快 的 老年 人 和 残 
疾 人 市 场 ， 开 发 帮助 这 个 群体 独立 生活 的 技术 产品 。Alice 被 指定 领导 一 个 6 人 研发 团队 开始 这 个 方面 的 项 
目 ， 不 再 继续 搞 她 所 熟悉 的 报警 技术 。 
Alice 的 辅助 技术 项 目 进行 得 很 顺利 。 在 组 内 建立 了 良好 的 工作 关系 ,一 些 具有 创新 的 想法 得 到 采纳 。 公 
司 决定 采用 链接 到 网 络 的 数字 电视 建立 一 个 点 对 点 的 消息 系统 。 然 而 ， 几 个 月 之 后 ，Alice 发 现 硬件 设计 专家 
Dorothy 开始 上 班 迟 到 ， 工 作 效 率 下 降 ， 而 县 没有 和 其 他 成 员 进 行 交 流 。 


Alice 和 小 组 的 其 他 成 员 进行 了 非 正式 的 谈话 ， 试 图 了 解 Dorothy 的 个 人 环境 是 否 发 生 了 改变 ， 是 否 影 响 
到 了 她 的 工作 。 但 是 他 们 都 不 太 清楚 ， 所 以 Alice 决定 直接 和 Dorothy 谈 谈 ， 了 解 其 问题 。 

在 几 次 否认 之 后 ，Dorothy 承认 她 对 工作 失去 了 兴趣 。 她 希望 能 发 展 和 运用 她 的 硬件 接口 经 验 。 但 由 于 产品 
方向 已 经 确定 ， 在 这 方面 她 只 有 很 少 的 机 会 。 基 本 上 她 只 是 同 其 他 团队 成 员 一 起 作为 C 语言 程序 员 在 工作 。 

在 她 承认 这 项 工作 是 一 种 挑战 时 ， 也 同时 明白 在 此 她 不 能 拓展 擅长 的 接口 技术 。 她 很 担心 当 进 行 完 这 个 
项 目 以 后 ， 将 会 很 难 再 去 找到 一 个 包含 有 硬件 接口 的 工作 。 因 为 她 不 想 让 团队 知道 她 正在 考虑 下 一 份 工作 而 
影响 到 别人 的 工作 热情 ， 所 以 决定 最 好 与 团队 中 尽 可 能 少 的 人 谈论 这 件 事 。 





图 22-8 个 人 激励 


在 这 个 例子 中 ，Alice 试 着 去 弄 清 楚 Dorothy 的 个 人 情况 是 否 有 问题 。 私 人 问题 通常 会 影响 到 
工作 热情 ， 因 为 人 们 不 能 专心 于 他 们 的 工作 。 必 须 给 他 们 时 间 并 支持 他 们 去 解决 自己 的 问题 ， 同 
时 也 必须 让 他 们 清楚 地 认识 到 需要 对 雇主 负责 。 

实际 上 Dorothy 所 面临 的 动力 问题 在 项 目 开发 与 人 们 所 预期 的 方向 不 一 致 时 经 常会 发 生 。 人 
们 期 望 去 做 一 种 类 型 的 工作 ,但 实际 上 可 能 最 终 却 干 着 完全 不 同 的 事情 。 当 人 们 想 以 某 种 方式 
扩展 其 技术 能 力 ， 而 在 所 做 的 项 目 中 却 无 法 达成 时 ， 这 会 成 为 一 个 问题 。 在 这 个 例子 中 ， 可 能 要 
决定 让 这 个 团队 成 员 离开 到 别 的 地 方 寻找 机 会 。 而 这 里 Alice 试 着 去 说 服 Dorothy 拓展 经 历 是 职业 
生涯 中 一 个 正确 的 选择 。 她 给 了 Dorothy 更 多 的 设计 自主 权 ， 并 组 织 了 一 些 软件 工程 方面 的 培训 
课程 ， 以 使 Dorothy 在 结束 当前 的 项 目 后 能 有 更 多 的 机 会 。 

Maslow 的 动力 模型 在 一 定 程度 上 是 很 有 帮助 的 ， 但 是 此 模型 存在 的 问题 在 于 他 对 于 动力 的 
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理解 只 是 从 人 本 身 这 个 角度 来 看 。 他 没有 充分 考虑 到 这 样 的 事实 : 人 们 认为 自己 是 一 个 机 构 、 一 
个 专业 群体 以 及 某 种 文化 中 的 一 部 分 。 这 并 不 仅仅 是 一 个 满足 人 们 社会 需要 的 问题 ， 人 们 也 可 
以 通过 帮助 一 个 团体 达成 共同 的 目标 而 受到 激励 。 


© usto 


人 的 能 力 成 熟 度 模 型 《P-CMM) 是 一 个 评估 框架 ， 是 评估 机 构 在 管理 员工 自身 发 展 方面 
的 水 平 的 。 它 强调 在 人 的 管理 方面 的 最 佳 实践 ， 以 及 提供 给 机 构 改 善 它们 的 人 的 管理 过 程 的 
基础 。 
http://www. SoftwareEngineering-9. com/Web/Management/ P-CMM. html 


作为 一 个 有 凝聚 力 的 群体 的 成 员 ， 对 多 数 人 而 言 就 是 一 个 很 大 的 动力 。 人 们 完成 任务 后 常 
常 乐意 继续 工作 ， 工 作 的 动力 来 自 于 他 们 的 同事 及 其 所 做 的 工作 。 因 此 ， 在 考虑 激励 每 个 人 的 同 
时 ， 也 必须 考虑 如 何 将 团队 作为 一 个 整体 进行 激励 以 达到 公司 的 目标 。 下 一 节 将 讨论 团队 管理 
的 问题 。 

人 格 类 型 也 会 对 激励 产生 影响 。Bass 和 Dunteman (1963) 将 职业 人 士 分 为 3 种 类 型 

l. 面向 任务 型 ， 这 类 专业 人 员 的 动力 来 自 于 他 们 所 从 事 的 工作 。 在 软件 工程 中 ， 他 们 是 这 
样 的 人 : 软件 开发 智力 上 的 挑战 激发 了 他 们 的 工作 热情 。 

2. 面向 自我 型 ， 这 类 人 的 动力 主要 来 自 于 个 人 成 功 和 得 到 认可 。 他 们 更 乐于 把 软件 开发 视 
为 达到 自己 目标 的 手段 。 这 并 不 意味 着 这 些 人 自私 ， 只 关注 自己 的 事情 。 他 们 通常 有 更 长 远 的 目 
标 ， 比 如 得 到 升迁 ， 他 们 希望 在 工作 中 获得 成 功 以 帮助 实现 自己 的 这 些 目标 。 

3 面向 交互 型 ， 这 类 人 的 动力 来 自 于 同事 们 的 存在 和 协作 。 随 着 软件 开发 日 益 以 用 户 为 中 
心 ， 面 向 交互 的 人 们 也 越 来 越 积 极地 参与 到 软件 工程 中 来 。 

面向 交互 型 人 员 通 常 喜欢 小 组 作业 ， 而 面向 任务 型 和 面向 自我 型 人 员 则 通常 喜欢 独自 工作 。 
女人 比 男人 更 易 成 为 面向 交互 型 人 员 ， 她 们 通常 是 更 有 效 的 交流 者 。 在 图 22. 10 节 中 讨论 了 团队 
中 这 些 不 同 的 特性 。 

每 个 个 体 的 工作 动力 由 各 种 动力 因素 组 成 ,但 是 在 任 一 时 刻 总 是 只 有 一 种 动力 居于 支配 地 
位 。 然 而 每 个 人 都 可 能 发 生 改 变 。 举 个 例子 ， 如 果 技 术 人 员 对 所 支付 的 报酬 不 满意 ， 那 么 他 很 可 
能 会 变 成 面向 自我 型 ， 把 个 人 利益 置 于 技术 乐趣 之 上 。 如 果 团 队 协 调 得 特别 好 ， 面 向 自我 型 的 人 
也 可 能 变 成 面向 交互 型 的 。 


22.3 团队 协作 


多 数 专业 软件 都 是 由 一 个 项 目 团队 开发 完成 的 ， 这 些 团 队 的 规模 从 两 人 到 几 百 人 不 等 。 然 
而 ， 让 大 型 团队 中 的 每 个 人 都 能 有 效 地 参与 、 解 决 一 个 问题 ， 很 显然 是 不 可 能 的 ， 通 常 要 把 这 些 
大 型 团队 分 成 小 的 项 目 小 组 ， 每 个 项 目 小 组 各 负责 整个 系统 的 一 个 子 项 目 。 一 般 原则 是 ， 软 件 工 
程 项 目 小 组 的 成 员 通常 不 应 该 超过 10 人 。 分 成 小 型 的 项 目 小 组 可 以 减少 沟通 中 的 问题 。 人 人 都 
互相 认识 ， 整 个 小 组 可 以 坐 在 一 起 开会 讨论 项 目 和 当前 正在 开发 的 软件 。 

组 成 一 个 高 效 的 项 目 小 组 是 一 项 至 关 重 要 的 管理 任务 。 这 个 小 组 应 该 在 技术 、 经 验 和 个 性 
方面 整体 均衡 。 成 功 的 小 组 并 不 只 是 各 种 技能 均衡 的 个 体 的 简单 组 合 。 好 的 小 组 具有 一 种 凝聚 
力 和 团队 精神 ,使 得 所 有 的 成 员 既 为 自己 的 个 人 目标 奋斗 同时 又 为 小 组 的 成 功 而 奋斗 。 

在 有 凝聚 力 的 小 组 中 ， 成 员 认为 集体 比 个 人 重要 。 领 导 得 当 ， 凝 聚 力 强 的 小 组 的 成 员 都 忠于 
小 组 ， 他 们 认同 集体 目标 和 其 他 成 员 。 他 们 试图 保护 集体 为 一 个 整体 ， 免 受 外 来 的 干扰 。 这 就 使 
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得 小 组 足够 健壮 ， 有 能 力 解决 各 种 问题 和 突 发 状况 。 

小 组 的 凝聚 力 带 来 的 好 处 如 下 : 

1. 能 够 建立 起 小 组 自己 的 质量 标准 ”因为 这 个 标准 的 建立 是 经 过 小 组 一 致 同意 的 ， 与 外 部 
强加 给 小 组 的 标准 相 比 ， 更 容易 被 大 家 遵守 。 

2. 成 员 互 相 学 习 ， 互 相 帮 助 ” 小 组 中 的 成 员 之 间 互 相 学 习 。 鼓 励 互相 学 习 可 以 消除 由 于 相 
互 不 了 解 而 引起 的 隔 闵 。 

3. 知识 分 享 一 旦 有 成 员 离开 小 组 也 能 够 保持 工作 的 连续 性 。 小 组 的 其 他 成 员 可 以 接手 关 
键 的 任务 ， 保 证 不 会 过 度 影 响 项 目 。 

4. 鼓励 重 构 以 及 不 断 改善 不 论 是 谁 最 先 开始 创建 的 这 个 设计 或 程序 ， 小 组 成 员 集体 工作 
交付 高 质量 的 产品 并 解决 出 现 的 问题 。 

优秀 的 项 目 管理 者 应 该 鼓励 小 组 凝聚 力 。 他 们 可 以 为 小 组 成 员 及 其 家 庭 组 织 一 些 社会 活动 ， 
可 以 通过 给 小 组 命名 确立 小 组 的 特性 和 定位 ， 尝 试 着 建立 小 组 的 认同 感 ， 还 可 以 开展 有 鲜明 小 
组 特色 的 小 组 建设 活动 ， 如 运动 和 游戏 。 

增强 小 组 凝聚 力 的 最 有 效 的 方式 是 把 组 员 当 做 自己 人 。 必 须 认 为 小 组 成 员 是 负责 任 的 、 可 
信赖 的 ， 保 障 小 组 成 员 的 知情 权 。 管 理 者 们 常常 觉得 某 些 信息 不 能 让 小 组 所 有 的 成 员 都 知道 ， 这 
样 难免 会 产生 相互 之 间 的 不 信任 。 坦 诚 的 信息 交流 是 一 种 简便 而 又 有 效 的 方式 ， 可 以 使 小 组 成 
员 感 觉 他 们 是 小 组 的 一 部 分 。 

在 图 22-9 中 的 案例 分 析 是 一 个 例子 。Alice 安排 非 正 式 的 例会 通知 其 他 的 小 组 成 员 将 要 做 什 
么 。 她 重视 让 成 员 们 提出 来 自 自己 小 组 经 验 的 新 想法 ， 从 而 参与 到 产品 开发 中 来 。“ 放 松 日 ”也 
是 提高 凝聚 力 的 一 个 好 方法 。 当 人 们 互相 帮助 学 习 新 技能 时 他 们 也 一 起 得 到 了 放松 。 


案例 分 析 : 团队 精神 
Alice 作为 一 个 有 经 验 的 项 目 经 理 ， 了 解 建立 一 个 有 凝聚 力 的 小 组 的 重要 性 。 当 开发 一 个 新 产品 时 ， 她 让 
负责 产品 描述 的 小 组 和 产品 设计 的 小 组 的 所 有 成 员 都 参与 到 与 各 小 组 中 资深 者 一 起 对 可 能 用 到 的 技术 的 探讨 
活动 中 来 ， 她 利用 这 样 的 机 会 使 得 项 目 团队 中 的 每 个 成 员 都 能 够 关心 产品 的 描述 和 设计 。 她 还 鼓励 老成 员 介 
绍 新 成 员 与 其 他 小 组 中 的 成 员 认识 。 
Alice 每 月 都 安排 午餐 会 ， 这 是 项 目 组 所 有 成 员 相互 认识 并 谈论 彼此 所 关心 的 问题 的 好 机 会 。 在 餐 会 上 





Alice 告诉 小 组 成 员 她 所 知道 的 公司 的 新 闻 、 制 度 、 策 略 等 。 然 后 每 个 成 员 简 要 总 结 他 们 已 经 完成 和 正在 进行 
的 工作 ,然后 是 小 组 讨论 一 般 性 话题 ,例如 从 年 长 亲 威 那里 获得 的 新 产品 构想 。 

每 隔 儿 个 月 ，Alice 组 织 一 次 小 组 的 “放松 日 "， 用 两 天 时 间 对 小 组 进行 “技术 提升 "。 每 个 小 组 成 员 准 
备 一 项 相关 技术 的 最 新 内 容 并 介绍 给 小 组 中 其 他 成 员 。 到 一 个 较 远 的 地 方 选 择 一 个 高 级 宾馆 度假 ， 给 出 充足 
的 时 间 进 行 充分 的 技术 讨论 和 成 员 彼 此 间 相 互 沟通 。 





图 22-9 ”小 组 凝聚 力 


在 一 定 程度 上 ， 一 个 小 组 能 否 有 效率 地 工作 取决 于 项 目 本 身 以 及 承担 该 项 目的 机 构 。 如 果 
这 个 机 构 不 断 重组 ， 工 作 不 安全 ， 处 于 一 片 混乱 之 中 ， 团 队 成 员 很 难 专注 于 项 目 开发 。 然 而 ， 除 
项 目 和 机 构 问 题 之 外 ， 还 有 3 个 影响 团队 工作 的 普遍 因素 : 

L 小 组 的 人 员 ”项 目 小 组 需要 不 同类 型 的 人 员 。 因 为 软件 开发 包括 各 种 活动 : 和 客户 谈判 ， 
编码 ， 测 试 ， 编 写 文档 等 。 

2. 团队 的 组 织 ”应 该 这 样 组 织 团 队 ， 使 得 小 组 成 员 都 能 尽 其 所 能 ， 所 承担 的 各 项 任务 都 能 
按时 完成 。 

3. 技术 上 和 管理 上 的 交流 ”小 组 成 员 之 间 、 软 件 开发 团队 和 其 他 项 目 信息 持 有 者 之 间 的 良 
好 沟通 是 必 不 可 少 的 。 


385 


386 . 第 四 部 分 软件 管理 


正如 所 有 的 管理 问题 一 样 ， 获 得 合适 的 团队 并 不 能 保证 项 目 成 功 。 还 会 有 太 多 的 地 方 可 能 
出 现 问 题 ， 如 业务 变更 和 业务 环境 改变 。 然 而 ， 不 注意 小 组 构成 、 组 织 以 及 交流 的 话 ， 项 目 出 现 
问题 的 可 能 性 就 大 大 增加 了 。 


22.3.1 成 员 挑选 


管理 者 或 团队 领导 者 的 任务 是 创建 一 个 有 凝聚 力 的 小 组 并 将 其 很 好 地 组 织 起 来 ， 使 其 能 一 
起 有 效 地 工作 。 这 包括 两 方面 : 创建 一 个 在 技术 技能 和 人 格 个 性 之 间 平 衡 的 小 组 ; 组 织 成 员 一 起 
有 效 地 工作 。 有 时 ， 员工 是 从 组 织 外 面 雇佣 的 ; 然而 更 常见 的 是 ， 软 件 工程 小 组 是 由 从 其 他 项 目 
中 有 经 验 的 现 有 职员 中 挑选 来 的 。 然 而 ， 事 实情 况 是 管理 者 很 少 有 机 会 挑选 小 组 成 员 。 他 们 经 常 
不 得 不 使 用 公司 里 能 找到 的 人 员 ， 即 使 这 些 人 并 不 是 这 项 工作 的 理想 人 员 。 

如 22.2.1 节 所 讨论 的 ， 许多 软件 工程 人 员 的 动力 主要 来 自 于 他 们 的 工作 。 因 而 软件 开发 小 
组 常常 都 是 由 一 些 对 技术 问题 解决 有 独到 见解 的 人 员 组 成 的 。 有 无 独到 见解 可 以 从 定期 报告 的 
问题 中 得 到 证 实 ， 这 些 问 题 包括 接口 标准 被 忽视 、 将 系统 用 他 们 自己 的 编码 重新 设计 过 、 不 必要 
的 系统 修饰 等 。 ' 

由 性 格 互 补 的 成 员 组 成 的 小 组 比 仅 仅 根据 技术 能 力 选择 成 员 的 小 组 更 有 效率 。 以 工作 为 动 
力 的 人 很 可 能 在 技术 上 是 最 出 色 的 。 面 向 自我 的 人 则 可 能 善于 推动 整个 工作 的 完成 。 面 向 交互 
的 人 有 利于 小 组 内 部 的 交流 沟通 。 作 者 认为 一 个 小 组 拥有 面向 交互 型 的 人 员 特 别 重要 。 这 种 类 
型 的 人 喜欢 和 别人 交谈 ， 可 以 较 早 地 发 觉 小 组 中 的 紧张 与 不 和 谐 状态 ， 使 得 紧张 与 不 和 谐 状态 
不 致 对 小 组 造成 严重 影响 。 

图 22-10 中 所 示 的 案例 分 析 中 ， 表 现 了 项 目 经 理 Alice 如 何 去 组 建 一 个 个 性 和 谐 的 小 组 。 这 
个 特别 的 小 组 中 有 着 面向 交互 和 面向 任务 型 两 种 人 的 良好 组 合 ， 但 是 在 图 22-8 中 讲 到 了 Dorothy 
面向 自我 的 个 性 可 能 会 导致 一 些 问题 ， 因 为 她 干 的 并 不 是 她 希望 的 工作 。Fred 作为 领域 专家 的 
兼职 角色 也 可 能 是 个 问题 。 他 太 过 专注 于 技术 的 挑战 ， 因 而 可 能 不 能 与 其 他 的 小 组 成 员 进 行 良 
好 的 互动 。 他 不 能 始终 作为 小 组 的 一 部 分 ， 这 意味 着 他 可 能 不 能 很 好 地 与 团队 的 目标 相 一 致 。 




















a RASH: 小 组 构成 

在 创建 辅助 技术 开发 小 组 的 过 程 中 ，Alice 认识 到 选择 个 性 和 谐 成 员 的 重要 性 。 面 试 的 时 候 ， 她 试 着 判定 
他 们 是 面向 任务 型 、 面 向 自我 型 还 是 面向 交互 型 的 。 她 觉得 自己 主要 是 面向 自我 型 的 ， 因 为 她 觉得 这 个 项 目 
是 使 得 她 能 获得 上 层 注 意 和 得 到 提升 的 一 个 途径 。 因 此 她 寻找 一 个 或 两 个 面向 交互 型 的 人 并 期 望 能 找到 一 些 
面向 任务 型 的 人 来 建立 小 组 。 她 最 后 的 看 法 是 : 

Alice 一 一 面向 自我 型 

Brian 一 一 面向 任务 型 

Bob 面向 任务 型 

Carol 面向 交互 型 

Dorothy 一 一 面向 自我 型 

Ed 面向 交互 型 

Fred 面向 任务 型 











图 22-10 小 组 构成 


有 的 时 候 不 可 能 挑选 个 性 互补 的 成 员 组 成 一 个 小 组 。 在 这 种 情况 下 ,项 目 管理 者 必须 控制 
小 组 ,不 能 让 小 组 成 员 把 个 人 目标 凌驾 于 开发 机 构 和 小 组 的 目标 之 上 。 如 果 所 有 的 成 员 痢 参与 
到 项 目的 各 个 阶段 ， 这 种 控制 比较 容易 实现 。 当 项 目 小 组 成 员 在 接受 指示 的 时 候 不 知道 他 们 的 
任务 在 整个 项 目 中 的 地 位 ， 他 们 很 有 可 能 会 按照 自己 的 意志 行事 。 


S28 项 目 管理 … 


举 个 例子 ,一 个 工程 人 员 要 为 一 个 程序 做 编码 设计 ， 并 注意 到 了 一 些 可 能 的 设计 改善 。 如 果 
在 实现 这 些 改 善 时 ， 工 程 人 员 没 有 理解 设计 的 初衷 ， 任 何 改变 ， 虽然 初衷 是 好 的 ， 都 会 对 系统 的 
其 他 部 分 产生 不 利 影响 。 如 果 整 个 小 组 从 一 开始 就 参与 这 项 设计 ， 他 们 就 会 理解 为 什么 会 做 出 
这 样 的 设计 决定 。 他 们 就 会 认同 这 些 决 定 ， 而 不 下 反对 它们 。 


Q ansor 


项 目 管理 者 通常 负责 挑选 机 构 中 的 员工 到 他 们 的 软件 工程 团队 来 。 在 此 过 程 中 获得 可 能 
的 最 好 的 员工 是 非常 重要 的 ， 因 为 坏 的 选择 决定 会 是 项 目的 一 个 严重 风险 。 

影响 员工 挑选 的 一 些 关 键 因素 包括 ; 教育 背景 和 培训 ， 应 用 领域 和 技术 经 验 ， 沟 通 能 力 ， 
适应 性 以 及 问题 解决 能 力 。 | 
http://www. SoftwareEngineering-9. com/ Web/ Management/ Selection. html : 






. 22.3.2 小 组 的 结构 


小 组 的 构成 方式 影响 着 小 组 的 决定 、 信 息 交 换 的 方式 以 及 开发 小 组 和 小 组 外 的 项 目 信息 持 
有 者 间 的 交流 。 项 目 管理 者 关心 的 重要 组 织 问题 如 下 : 

l. 项 目 管理 者 应 该 是 小 组 的 技术 领导 人 员 吗 ? 技术 领导 人 员 或 者 系统 架构 师 负 责 项 目 开发 
过 程 中 的 重大 技术 决定 。 有 些 情况 下 ,项 目 管理 者 有 足够 的 技术 和 经 验 但 当 这 个 角色 。 然 面 ， 对 
于 大 型 项 目 ， 最 好 指派 一 位 资深 的 工程 师 但 当 项 目 架 构 师 ， 并 负责 技术 领导 任务 。 

2. 谁 将 参与 做 出 重大 技术 决定 ， 以 及 如 何 做 出 ? 应 该 让 系统 架构 师 、 项 目 管理 者 还 是 让 更 
多 的 小 组 成 员 一 起 做 出 ? . 

3， 如 何 与 小 组 外 的 信息 持 有 者 以 及 高 层 管理 交流 沟通 ? 在 很 多 情况 下 ， 项 目 管理 者 将 会 在 
系统 架构 师 (如果 有 的 话 ) 的 辅助 下 负责 这 些 沟通 。 另 一 个 可 以 选择 的 组 织 模式 是 指派 一 个 有 
着 良好 沟通 能 力 的 人 担当 此 角色 ， 专 门 负责 外 部 联络 。 

4. 如 何 将 分 散 的 人 员 整 合 到 一 组 ? 很 普遍 的 情况 是 小 组 包括 不 同 机 构 的 成 员 ， 有 的 成 员 在 
共同 的 办 公 室 办 公 也 有 人 在 家 办 公 。 在 小 组 决策 过 程 中 应 该 将 此 考虑 在 内 。 

5. 小 组 怎么 共享 知识 ? 小 组 的 组 织 方式 影响 信息 的 共享 ， 比 起 其 他 方式 ， 某 些 组 织 方式 更 
有 利于 共享 知识 。 然 而 ， 也 应 该 避免 共享 过 多 的 信息 ， 以 免 超 过 成 员 承 受 的 范围 ， 过 多 的 信息 会 
使 成 员 在 工作 中 分 心 。 

小 型 的 程序 设计 小 组 的 组 织 结构 通常 是 非 正规 的 。 小 组 领导 和 其 他 小 组 成 员 -- 起 参与 软件 
开发 。 在 非 正 规 结构 的 小 组 中 ， 完 成 哪些 工作 要 经 过 小 组 集体 讨论 ， 任 务 的 分 派 按 照 个 人 能 力 和 
经 验 进行 。 高 级 的 系统 设计 由 小 组 的 资深 成 员 完 成 ， 低 级 的 设计 则 由 承担 具体 任务 的 小 组 成 员 
负责 。 

极限 编程 小 组 (Beck，2000〉 总 是 非 正式 小 组 。XP (极限 编程 热衷 者 认为 正式 的 组 织 结 
构 阻 止 信息 交流 。 在 这 种 方式 中 ,许多 通常 被 认为 应 由 管理 层 做 出 的 决策 ， 如 对 项 目 调度 的 决 
策 ， 都 交 给 了 小 组 成 员 。 程 序 员 一 起 写 程序 代码 ， 集 体 对 开发 的 程序 负责 任 。 

如 果 小 组 的 大 多 数 成 员 都 既 有 经 验 又 有 能 力 ， 非 正规 结构 的 小 组 会 做 得 非常 成 功 。 小 组 的 
运作 实行 民主 、 集 体 决 策 。 这 样 增强 了 小 组 的 凝聚 力 和 实力 。 然 而 ， 如 果 小 组 的 大 部 分 成 员 经 验 
不 足 ， 或 者 能 力 不 足 ， 非 正规 结构 会 阻碍 小 组 的 发 展 。 没 有 一 定 的 权威 来 指导 工作 的 进行 ， 会 使 
得 小 组 成 员 间 缺乏 协调 ， 并 有 可 能 最 终 导 致 项 目 失败 。 

层次 化 小 组 是 将 小 组 看 成 一 种 层次 结构 ， 小 组 领导 人 员 处 于 最 上 层 。 领 导 者 比 起 其 他 组 员 
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有 更 大 的 权限 ， 所 以 可 以 指导 工作 。 组 织 层次 结构 清晰 ， 结 构 上 层 做 出 决定 ， 结 构 下 层 执行 决 
定 。 在 这 种 结构 中 ， 交 流 主要 是 高 屋 人 员 下 达 的 指示 ， 从 下 层 到 上 层 的 交流 相对 来 说 就 很 少 了 。 

当 一 个 深刻 理解 的 问题 能 很 轻易 地 分 解 成 数 个 子 问题 ， 这 些 子 问题 能 够 在 这 个 层次 结构 中 
的 不 同位 置 找到 解决 方案 ,这 种 结构 是 很 有 效 的 。 在 上 述 情况 中 ， 层 次 中 交流 的 要 求 相 对 较 少 。 
然而 ， 在 软件 工程 中 这 样 的 情况 是 相当 罕见 的 ， 原 因 如 下 : 

L 软件 的 变更 通常 会 引起 系统 若干 部 分 的 变更 ， 因 此 和 需要 层次 结构 中 各 个 等 级 的 人 员 一 起 
讨论 磋商 。 

2. 软件 技术 飞速 发 展 ， 年 轻 职员 往往 比 有 经 验 的 老 职员 对 技术 懂得 更 多 。 自 上 而 下 的 交流 
方式 意味 着 项 目 管理 者 找 不 到 机 会 使 用 新 技术 。 而 且 由 于 在 开发 中 使 用 在 他 们 看 来 是 过 时 的 技 
术 ， 越 来 越 多 的 新 员工 会 产生 挫败 感 。 

民主 的 和 层次 的 小 组 组 织 方 式 没有 认识 到 组 员 之 间 的 技术 能 力 存 在 巨大 的 差异 。 最 好 的 程 
序 员 的 产 出 能 比 最 糟 的 高 出 25 倍 。 因 此 需要 为 最 好 的 人 尽 可 能 地 提供 支持 ， 以 最 有 效 的 方式 使 
用 他 们 。 一 个 早期 的 提供 这 种 支持 的 组 织 模式 是 “首席 程序 员 团 队 ”。 

为 了 使 技术 熟练 的 程序 员 人 尽 其 才 ，Baker (Baker, 1972) 和 其 他 的 学 者 (Aron, 1974; 
Brooks, 1975) 提出 团队 应 该 单独 设立 技术 熟练 的 首席 程序 员 。 设 首席 程序 员 的 团队 的 一 个 基本 
原则 是 首席 程序 员 应 该 是 熟练 的 、 有 经 验 的 成 员 ， 他 们 应 该 对 软件 开发 全 过 程 负责 。 不 应 该 让 他 
们 处 理 日 常事 务 ， 他 们 的 工作 应 该 得 到 技术 上 和 行政 上 的 支持 。 他 们 应 该 专注 于 要 开发 的 软件 
而 不 要 在 那些 无 关 的 会 议 中 浪费 时 间 。 

但 是 在 作者 看 来 ， 采 用 首席 程序 员 的 团队 结构 过 于 依赖 首席 程序 员 和 他 们 的 助理 。 其 他 的 
团队 成 员 由 于 不 能 被 赋予 足够 的 权利 会 变 得 消极 ， 因 为 他 们 觉得 自己 的 技能 没有 充分 发 挥 。 出 
现 问题 的 时 候 ， 他 们 处 理 问题 所 需 信息 不 足 ， 他 们 也 没有 机 会 参加 决策 过 程 。 这 种 组 织 结构 会 带 
来 巨大 的 风险 ， 而 且 这 些 风 险 可 能 超过 它 带 来 的 任何 好 处 。 


Q 物理 工作 环境 


人 们 所 处 的 工作 环境 胸 影 响 小 组 沟通 也 影响 每 个 人 的 工作 效率 。 独 立 工作 闻 对 从 事 复杂 

的 技术 工作 的 人 集中 注意 力 特别 有 帮助 ， 这 样 技术 人 员 就 会 最 小 限度 地 受到 干扰 。 然 而 ， 共 
享 空间 特别 有 助 于 沟通 。 设 计 良 好 的 环境 应 该 综合 考虑 到 这 两 方面 的 需要 。 

http ;// www. SoftwareEngineering-9. com/Web/Management/ workspace. html 






22.3.3 小 组 的 沟通 


组 员 相互 之 间 以 及 和 其 他 项 目 信息 持 有 者 之 间 的 准确 高 效 的 沟通 是 绝对 必要 的 。 组 员 之 间 
需要 交流 各 自 工 作 的 情况 ， 做 出 的 设计 决策 ， 以 及 对 原先 设计 决策 进行 修改 。 组 员 必须 解决 其 他 
信息 持 有 者 所 提出 来 的 问题 ， 并 告 之 在 系统 方面 、 小 组 方面 以 及 在 交付 计划 方面 等 的 变更 。 良 好 
的 交流 有 助 于 增强 小 组 的 凝聚 力 。 组 员 开 始 理 解 小 组 中 其 他 人 员 的 动机 、 长 处 以 及 弱点 。 

影响 沟通 有 效 性 和 效率 的 主要 因素 有 : 

1. 小 组 规模 ” 随 着 小 组 规模 的 扩大 ， 要 保证 所 有 的 成 员 都 能 彼此 有 效 交 流 就 变 得 很 困难 了 。 
单 向 交流 链 的 数目 是 nx (n -1)， 其 中 代表 小 组 的 人 数 ， 可 以 看 出 ， 对 于 一 个 有 8 个 成 员 的 小 
组 ， 有 56 条 可 能 的 交流 路 径 。 有 些 成 员 之 间 很 可 能 没有 实际 交流 。 小 组 成 员 之 间 职 位 上 的 差异 
OA NEE RE ARG. 管理 者 和 经 验 丰 窗 的 工程 师 在 与 经 验 较 少 的 成 员 进行 交流 时 ， 容易 
处 于 支配 地 位 ,谈话 的 对 象 常常 不 愿 主动 开始 交谈 。 
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2. 小 组 结构 “在 一 个 没有 正规 组 织 结构 的 小 组 中 ， 员 工 的 沟通 比 有 正规 层次 化 结构 的 小 组 
中 员工 的 沟通 更 为 有 效 。 在 有 层级 结构 的 小 组 中 ， 沟 通 是 按照 层级 结构 进行 的 。 处 于 同一 层级 的 
人 可 能 彼此 不 进行 交流 。 这 是 含有 几 个 开发 小 组 的 大 型 项 目 中 的 一 个 突出 问题 。 如 果 开 发 不 同 
子 系统 的 人 员 只 与 他 们 的 管理 者 进行 沟通 ， 通 常会 造成 项 目的 延期 和 理解 上 的 错误 。 

3. 小 组 构成 ”如 果 小 组 中 人 太 多 并 且 个 性 类 型 相同 (在 22.2 节 讨 论 过 ) ， 这 样 可 能 容易 发 
生 冲 突 ， 沟 通 也 不 能 正常 进行 。 由 混合 性 别 组 成 的 小 组 (Marshall 和 Heslin, 1975) 中 的 沟通 要 
比 由 单一 性 别 组 成 的 小 组 容易 进行 。 女 性 比 男性 更 容易 成 为 面向 交互 型 人 才 ， 小 组 中 的 女性 成 
员 可 作为 小 组 沟通 的 控制 员 和 协调 员 。 

4. 小 组 的 物理 工作 环境 工作 场所 的 结构 是 推动 或 阻碍 沟通 的 主要 因素 。 可 以 在 本 书 的 网 
站 上 找到 更 多 关于 这 个 问题 的 信息 。 

5. 可 利用 的 交流 渠道 ”交流 的 形式 有 很 多 一 一 面对面 的 方式 、 发 电子 邮件 、 正 式 文件 、 电 
话 以 及 Web 2. 0 技术 比如 社交 网 络 和 Wikis。 项 目 组 之 间 分 布 在 各 处 的 情况 越 来 越 常见 ， 组 员 都 
在 远 地 工 作 ， 需 要 广泛 采用 能 使 交流 变 得 便捷 的 技术 。 

对 项 目 管理 者 来 说 , 截止 日 期 通常 都 很 紧 ， 所 以 他 们 更 愿意 使 用 不 太 费 时 的 交流 渠道 。 他 们 
依靠 会 议 以 及 正式 文件 向 项 目 职员 和 信息 持 有 者 传达 信息 。 虽 然 从 一 个 项 目 管理 者 的 角度 来 看 
这 是 有 效率 的 交流 方式 。 但 通常 却 没有 效果 。 我 们 可 以 发 现 有 很 多 原因 使 得 人 们 不 去 参加 会 议 ， 
所 以 他 们 听 不 到 报告 。 宛 长 的 文件 几乎 不 会 被 阅读 ， 因 为 阅读 者 不 知道 文件 是 否 和 自己 相关 。 当 
同样 的 文件 产生 了 几 个 版 本 的 时 候 ， 读 者 会 很 难 找到 其 中 的 变化 。 

当 沟 通 是 双向 的 时 候 ， 有 效 的 沟通 就 达到 了 。 有 关 的 人 员 讨 论 问 题 和 咨询 ， 并 且 建 立 起 对 提 
议和 问题 的 共同 的 理解 。 可 以 通过 会 议 达 到 目的 ， 虽然 会 议 通常 被 强势 的 人 员 所 控制 。 有 时候 安 
排 会 议 也 是 不 实际 的 。 越 来 越 多 的 项 目 团队 中 包括 在 外 地 工作 的 人 员 ， 这 使 得 举行 会 议 更 加 
困难 。 

为 了 解决 这 些 问题 ， 可 以 使 用 Web 技术 比如 Wikis 和 博客 支持 信息 交流 。Wikis 支持 合作 创 
造 和 编辑 文档 ， 博 客 支持 主题 为 线索 的 讨论 ， 组 员 可 以 发 出 问题 和 评论 。 无 论 在 哪 ，Wikis 和 博 
客 允 许 项 目 成 员 和 外 部 信息 持 有 者 交换 信息 。 它 们 能 帮助 管理 信息 ， 分 辨 讨论 的 类 型 ， 而 这 些 使 
用 电子 邮件 的 时 候 经 常 把 人 搞 糊 涂 。 当 然 ， 也 可 以 使 用 即时 通信 工具 和 电话 会 议 处 理 需 要 讨论 
的 问题 。 这 是 很 容易 安排 的 。 


要 点 


软件 工程 项 目 要 想 按 进 度 、 按 预算 进行 开发 ， 完 善 的 软件 项 目 管理 是 必要 的 。 

软件 项 目 管理 与 其 他 的 工程 管理 有 明显 区 别 。 软 件 产品 是 无 形 的 。 软 件 项 目 可 能 很 独特 或 
者 有 创新 ， 这 样 就 没有 实在 的 经 验 以 供 借鉴 。 软 件 过 程 没有 传统 工程 过 程 那么 成 熟 。 

和 风险 管理 现在 被 看 做 最 重要 的 项 目 管理 任务 之 一 。 

a 风险 管理 包括 识别 并 评估 重大 的 项 目 风险 ， 从 而 判断 这 些 风 险 发 生 的 可 能 性 大 小 及 其 后 果 
的 严重 程度 。 对 很 有 可 能 发 生 并 有 洪 在 严重 性 的 风险 ， 应 该 制定 有 关 规避 、 管 理 和 解决 可 
能 发 生 的 风险 的 计划 ， 包 括 对 风险 发 生 的 分 析 和 当 风 险 发 生 时 的 应 对 措施 。 

对 一 个 人 的 激励 因素 会 包括 与 其 他 人 的 交互 作用 、 得 到 管理 层 和 同行 的 赏识 ， 以 及 得 到 个 
人 发 展 的 机 会 等 。 

软件 开发 小 组 不 宜 太 大 且 要 有 凝聚 力 。 影 响 小 组 效率 的 关键 因素 是 小 组 中 的 人 员 、 小 组 组 
织 的 方式 以 及 组 员 之 间 的 沟通 。 

一 个 小 组 内 部 的 沟通 受 许多 因素 的 影响 ， 如 小 组 成 员 的 职位 、 小 组 的 规模 、 小 组 的 性 别 组 
成 、 小 组 成 员 的 个 性 以 及 可 用 的 沟通 渠道 。 


389 . 


. 990 . 第 四 部 分 软件 管理 


进一步 阅读 材料 

(The Mythical Man Month (Anniversary Edition) 》 自 20 世纪 60 年 代 以 来 ， 软 件 管理 的 难题 一 
直 就 没有 变化 ， 这 是 软件 管理 方面 的 最 好 的 书 之 一 。 该 书 有 趣 、 易 懂 ， 描 述 了 最 早 的 大 型 软件 项 
目 之 一 的 IBM os/360 操作 系统 的 管理 活动 。 在 第 2 版 中 还 收入 了 Brooks (F. P. Brooks, 1975, 
Addison-Wesley) 的 其 他 一 些 经 典 的 论文 (F. P. Brooks, 1995, Addison-Wesley) 。 

(Software Project Survival Guide》 这 是 一 本 十 分 注重 实效 的 软件 管理 著作 ,包含 很 多 对 有 着 软 
件 工 程 背景 的 项 目 管理 者 来 说 很 好 的 具体 建议 ,很 容易 阅读 和 理解 (S. McConnell , 1988 , Mi- 
crosoft Press) 。 i 

Peopleware: Productive Projects and Teams, 2nd ed》 这 是 一 本 经 典 著 作 的 新 版 本 ， 强 调 了 软 
件 项 目 管理 中 人 文 关怀 的 重要 性 。 这 本 书 容易 阅读 ， 是 少 有 的 认可 人 的 工作 场所 的 重要 性 的 书 
之 一 。 作 者 极力 推荐 此 书 (T. DeMarco and T. Lister, 1999, Dorset House) 。 

«Waltzing with Bears; Managing Risk on Software Projects》 这 是 一 本 实践 性 很 强 且 易 读 的 书 ， 
主要 介绍 风险 和 风险 管理 (T. DeMarco and T. Lister, 2003, Dorset House) 。 


练习 


22.1 解释 软件 系统 的 无 形 性 为 什么 给 软件 项 目 管理 提出 了 特殊 的 难题 。 

22.2 解释 最 好 的 程序 设计 者 为 什么 不 一 定 能 成 为 最 好 的 软件 管理 者 。22. 1 节 中 列 出 的 管理 活动 可 以 帮助 
你 回答 这 个 问题 。 

22.3 根据 文献 中 已 报告 的 项 目 问题 的 实例 ， 列 出 这 些 失败 的 程序 设计 项 目 中 存在 的 管理 难点 和 错误 (可 
参考 Brooks 的 书 ， 在 “进一步 阅读 材料 ”中 已 经 推荐 过 ) 。 

22.4 除了 图 22-1 中 所 列 的 风险 ， 识 别 可 能 在 软件 项 目 中 出 现 的 其 他 6 种 风险 。 

22.5 价格 锁定 的 合同 ， 即 承包 人 以 某 个 确定 价格 投标 一 系统 开发 ， 是 一 种 将 项 目 风险 从 委托 人 转移 给 承 
包 人 的 做 法 。 如 果 出 现 问题 ， 需 要 由 承包 人 承担 。 分 析 一 下 为 什么 这 种 合同 容易 增加 产品 风险 的 可 
能 性 。 

22.6 为 什么 让 小 组 所 有 成 员 都 知悉 项 目的 进展 情况 和 技术 上 的 决策 ， 能 够 增强 小 组 的 凝聚 力 ? 

22.7 在 极限 编程 团队 中 许多 管理 决策 权 被 下 放 到 团队 成 员 自 己 手中 ， 你 认为 这 会 带 来 哪些 问题 ? 

22.8 编写 一 个 类 似 本 书 风格 的 案例 研究 ， 证 明 项 目 组 中 沟通 的 重要 性 。 假 定 一 些 组 员 在 外 地 工作 ， 不 可 
能 在 短 时 间 内 召集 在 一 起 。 

22.9 你 的 上 司 要 求 你 在 某 一 时 间 之 前 交付 软件 产品 ， 而 据 你 了 解 只 有 让 你 的 项 目 组 无 偿 地 加 班 加 点 ， 才 
能 赶 上 进度 ， 而 项 目 组 所 有 的 成 员 都 有 孩子 需要 照顾 。 你 应 该 接受 上 司 的 要 求 ， 还 是 应 该 说 服 你 的 
项 目 组 成 员 加 班 ， 讨 论 一 下 。 做 出 你 的 决定 要 考虑 哪些 重要 因素 ? 

22. 10 ”作为 一 个 程序 设计 员 ， 你 被 提升 为 项 目 经 理 ， 但 是 你 感觉 做 具体 的 技术 工作 比 担任 项 目 经 理 做 出 的 
贡献 要 大 。 讨 论 一 下 你 是 否 应 该 接受 这 一 提升 。 
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项 目 规划 


目标 

本 章 的 目的 是 概要 介绍 软件 项 目 规 划 、 项 目 进度 安排 以 及 成 本 估算 ， 通 过 阅读 本 章 ， 你 将 了 
解 以 下 内 容 : 

m 理解 软件 成 本 计算 的 基本 原理 和 软件 报价 不 能 直接 与 它 的 开发 成 本 相关 联 的 原因 ; 

m 知道 在 计划 驱动 的 开发 过 程 中 的 项 目 计 划 应 该 包含 哪些 部 分 ; 

w 理解 项 目 进 度 安排 包含 的 内 容 以 及 如 何 使 用 条 形 图 制作 项 目 进度 安排 ; 

u 了 解 在 极限 编程 中 用 来 支持 项 目 规划 的 “规划 游戏 ”; 

理解 如 何 利用 COCOMO 模型 进行 算法 成 本 估计 。 


项 目 规划 是 软件 项 目 管理 者 最 重要 的 工作 之 一 。 项 目 管理 者 必须 将 工作 分 解 开 来 并 分 配给 
团队 成 员 ， 必 须 预 见 可 能 出 现 哪 些 问题 ， 并 且 准 备 好 相应 的 试探 性 的 解决 办 法 去 应 对 这 些 问 题 。 
项 目 计 划 是 在 项 目的 开始 建立 的 ， 是 用 于 向 项 目 开发 团队 和 客户 说 明 工作 如 何 开展 ， 以 及 帮助 
估计 项 目 进展 的 。 

项 目 规划 发 生存 项 目 生存 周期 的 以 下 3 个 阶段 : 

l. 投标 提案 阶段 , 即 为 争取 一 个 开发 软件 系统 开发 合同 的 投标 阶段 。 在 这 个 阶段 ， 需 要 做 
出 计划 以 帮助 管理 者 判断 是 否 有 完成 这 项 工作 所 需 的 资源 ， 并 计算 出 向 客户 开 出 的 价格 。 

2. 项 目 开始 阶段 ， 此 时 需要 做 出 如 下 规划 : 确定 参加 此 项 工作 的 人 员 ; 将 工作 分 解 成 数 个 
FRA; 在 公司 中 如 何 分 配 资源 等 。 此 时 ， 已 经 掌握 了 比 投标 阶段 更 多 的 信息 ， 因 此 可 以 进一步 
完善 最 初 的 工作 量 佑 计 。 

3. 贯穿 于 项 目 过 程 中 。 定 期 地 根据 获得 的 经 验 和 项 目 进展 的 监督 信息 修改 计划 。 项 目 管理 
者 对 开发 的 项 目 和 开发 团队 的 能 力 了 解 越 多 ,就 能 越 准 确 地 估计 项 目的 开发 时 间 。 此 外 ， 软 件 需 
求 可 能 发 生 改 变 ， 这 就 意味 着 项 目 完结 时 间 不 得 不 改变 ， 项 目 时 间 延 长 。 对 于 传统 开发 项 目 ， 这 
意味 着 开始 阶段 创建 的 计划 必须 修改 。 但 是 ， 如 果 使 用 敏捷 方法 的 话 ， 计 划 的 时 段 更 短 且 是 随 着 
软件 开发 持续 变化 的 。23. 4 节 将 讨论 敏捷 规划 。 

通常 ， 由 于 在 投标 阶段 没有 要 开发 的 项 目的 完整 需求 ， 不 可 避免 提案 阶段 的 规划 只 是 预测 
性 的 。 但 是 必须 按照 客户 要 求 拿 出 提案 ， 对 基于 所 要 求 的 软件 功能 做 出 高 水 平 描述 。 规 划 通常 是 
提案 要 求 的 一 部 分 ， 所 以 ， 必 须 做 出 对 于 开展 工作 可 信 的 规划 。 如 果 能 够 赢得 合同 ， 通 常 必须 重 
新 规划 项 目 ， 将 提案 做 出 后 所 出 现 的 变化 考虑 在 内 。 


Qyensnns 


当 你 估计 在 软件 项 目 上 的 工作 量 成 本 时 ， 不 能 简单 地 用 人 员工 资 乘 以 投入 到 项 目的 时 
间 。 你 还 必须 考虑 所 有 的 机 构 的 日 常 开支 〔( 办 公 空 间 ， 管 理 等 ) ， 这 些 都 应 该 是 项 目 收入 所 
承担 的 。 通 过 计算 这 些 日 常 开支 ， 加 上 项 目 中 工程 师 的 成 本 乘 上 一 个 系数 ， 就 是 项 目的 总 的 
成 本 。 







http://www. SoftwareEngineering-9. com/Web/ Planning/ overheadcosts. html 
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在 投标 争取 一 个 合同 的 时 候 ， 必 须 计 算出 需 向 客户 提出 的 开发 软件 的 价格 。 计 算 价 格 首先 
需要 估计 完成 项 目 所 需要 的 成 本 。 这 包括 计算 完成 各 个 活动 所 需要 的 工作 量 ， 然 后 计算 所 有 活 
动 的 工作 量 。 项 目 管理 者 必须 客观 地 计算 软件 成 本 ， 才 能 准确 地 预测 开发 软件 的 成 本 。 一 旦 对 可 
能 的 工作 量 有 合理 的 估计 ， 接 下 来 才能 计算 出 价格 ,向 客户 提出 报价 。 但 是 正如 下 一 节 要 讲 的 ， 
这 不 只 是 简单 地 成 本 + 利润 ， 还 有 很 多 因素 影响 软件 项 目的 定价 。 

在 计算 软件 开发 项 目 总 成 本 时 要 分 析 以 下 3 个 方面 : 

m 工作 量 成 本 〈 支 付 给 软件 开发 人 员 的 费用 ) 。 

m 包括 维护 在 内 的 硬件 和 软件 费用 。 

m 差旅费 和 培训 费用 。 

对 于 绝 大 多 数 项 目 ， 主 要 的 成 本 是 工作 量 成 本 。 项 目 管理 者 必须 估算 完成 此 项 工作 可 能 需 
要 的 总 成 本 〈 人 月 )。 很 显然 ， 所 掌握 的 用 于 估算 的 信息 是 有 限 的 ， 所 以 必须 首先 做 出 最 贴近 的 
估算 (往往 是 偏 于 乐观 的 ) ， 然 后 加 上 一 个 很 大 的 应 急 开 支 〈 额 外 的 时 间 和 成 本 ) 。 

对 于 商业 系统 来 说 ， 正 常 的 情况 下 会 使 用 相对 便宜 的 商品 硬件 。 然 而 ， 假 如 需要 得 到 中 间 件 
和 平台 软件 的 授权 的 话 ， 软 件 成 本 就 会 大 大 增加 。 如 果 项 目 是 在 不 同 地 方 开发 ， 可 能 还 需要 长 途 
出 差 。 昌 然 差 旅费 通常 只 是 工作 量 的 一 小 部 分 但 是 花 在 旅途 上 的 时 间 就 被 浪费 掉 了 ， 极 大 地 增 
加 了 项 目的 工作 量 成 本 。 可 以 使 用 电子 会 议 系统 和 其 他 支持 远程 协作 的 软件 减少 差 旅 次 数 。 节 
约 的 时 间 可 用 于 更 有 回报 的 工作 内 容 。 

一 且 获 得 开发 系统 的 合同 后 ， 应 该 立刻 改进 该 项 目的 框架 规划 ， 创 建 项 目的 启动 计划 。 这 个 
阶段 管理 人 员 需 要 知道 更 多 的 系统 需求 。 然 而 ， 此 时 可 能 还 没有 完整 的 需求 清单 。 特 别 是 使 用 敏 
捷 方 法 开发 的 话 更 是 如 此 。 此 时 的 目标 是 创建 一 个 能 够 帮助 项 目 人 员 决 策 补充 和 做 出 预算 的 项 
目 规划 。 将 这 个 规划 作为 基础 ， 在 机 构 内 部 分 配 项 目 资源 ， 并 且 帮 助 决定 是 否 需 要 雇用 新 员工 。 

上 上 述 规划 也 应 包括 项 目 监督 机 制 。 项 目 管理 者 必须 时 刻 追 踪 项 目的 进展 ， 比 较 实 际 的 进展 
和 成 本 与 原 计 划 的 进展 和 成 本 的 不 同 。 大 部 分 的 机 构 都 有 正式 的 监督 机 制 ， 但 是 从 监督 来 说 ， 一 
个 好 的 项 目 管理 者 应 该 能 够 从 与 员工 的 非 正式 交谈 中 对 项 目的 情况 建立 起 清晰 的 认识 。 非 正式 
监督 能 够 在 困难 出 现时 及 时 发 现 ， 从 而 预测 到 潜在 的 项 目 问题 。 比 如 ， 可 能 在 与 员工 的 日 常 交谈 
中 暴露 出 在 查找 软件 漏洞 中 的 特殊 问题 。 从 而 项 目 管理 者 可 以 立刻 安排 一 个 专家 解决 问题 ， 或 
者 决定 编程 绕 过 该 问题 ， 而 不 用 等 到 员工 进行 进度 汇报 。 

项 目 计划 总 是 随 着 项 目的 进展 而 改变 。 要 保证 项 目 计划 成 为 员工 理解 要 达到 的 目标 和 软件 
交付 的 时 间 的 一 份 有 用 的 文件 。 因 此 ， 随 着 软件 开发 的 推进 ， 需 要 修改 进度 安排 计划 、 成 本 估计 
以 及 风险 估计 。 

如 果 使 用 敏捷 方法 ， 仍 然 需要 项 目 启动 计划 。 不 论 使 用 的 是 什么 方法 ， 公 司 仍 然 需 要 计划 如 
何 给 项 目 分 配 资源 。 然 而 ， 这 并 不 是 一 个 详尽 的 计划 ， 只 是 包括 一 些 关于 工作 分 解 和 项 目 日 程 表 
这 些 有 限 的 信息 。 开 发 过 程 中 ， 要 为 每 个 软件 版 本 制定 一 个 非 正式 的 项 目 计划 和 工作 量 成 本 估 
计 ， 应 该 让 团队 所 有 员工 都 参与 到 规划 过 程 中 来 。 


23.1 软件 报价 


原则 上 ， 对 于 客户 来 说 ， 软 件 产品 价格 只 是 简单 的 开发 成 本 加 利润 。 不 过 ， 实 际 上 项 目 成 本 
和 向 客户 提出 的 价格 之 间 的 关系 并 不 总 是 这 样 简单 。 软 件 报价 必须 考虑 到 方方面面 的 因素 ， 如 
机 构 因 素 、 经 济 和 政治 因素 、 商 业 上 的 因素 等 。 必 须 考虑 的 因素 如 图 23-1 所 示 。 必 须 考虑 机 构 
上 的 问题 ， 项 目 相关 的 风险 ， 以 及 将 要 使 用 的 合同 的 类 型 。 这 些 都 将 引起 价格 上 升 或 者 下 降 。 由 
于 项 目 报价 要 考虑 机 构 的 具体 情况 ， 因 而 项 目 报价 需要 市 场 和 销售 人 员 、 资 深 管理 人 员 ， 以 及 项 
目 管理 者 共同 参与 决定 。 
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, 开发 机 构 可 能 为 进入 一 个 新 的 软件 市 场 而 提出 一 个 低 的 报价 。 在 一 个 项 目 上 的 

市 场 机 中 低 回报 可 能 会 换 来 今后 更 大 收益 的 机 会 ， 而 且 获 得 的 经 验 可 有 助 于 开发 新 产品 
3 它 M fa Xm, (4:1 出 
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客户 可 能 愿意 开发 者 保留 对 源 代码 的 版 权 ， 并 在 其 他 项 目 中 复 用 。 这 样 付出 的 
价钱 会 比 将 软件 源 代码 交 给 客户 时 少 些 

如 果 需 求 可 能 会 发 生 改 变 ， 机 构 会 降低 它 的 价格 以 得 到 合同 ， 在 合同 签订 后 ， 
需求 的 改变 将 带 来 高 的 要 价 

处 于 财务 困难 中 的 开发 者 可 能 会 降低 报价 来 得 到 一 份 合 同 。 比 正常 情况 下 少 赚 
些 其 至 亏 一 点 也 比 没有 项 目 好 。 在 困难 时 期 现金 流 比 利润 更 重要 
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图 23-1 影响 软件 报价 的 因素 


为 了 说 明 项 目 定价 的 一 些 问 题 ， 考 虑 下 面 的 情景 : 

一 个 叫 PharmaSoft 的 小 软件 公司 ， 雇 用 10 个 软件 工程 师 。 公 司 刚 完成 了 一 项 大 工程 ， 但 是 
现在 得 到 的 合同 仅 需要 5 个 开发 人 员 就 够 了 。 但 公司 正在 竞标 一 个 主要 的 制药 公司 的 大 合同 ， 需 
要 在 2 年 内 完成 30 人 年 的 工作 。 项 目 在 至 少 12 个 月 内 不 会 动工 ， 但 一 旦 获得 批准 ， 该 项 目 会 让 
公司 的 财务 状况 有 很 大 起 色 。 

PharmaSoft 公司 得 到 一 个 机 会 竞标 一 个 需要 6 个 人 且 在 10 个 月 内 完成 的 项 目 。 成 本 (包括 
项 目的 日 常 开 支 ) 估计 在 120 万 美金 。 但 为 了 提高 竞争 力 ，PharmaSoft 公司 给 顾客 的 标价 是 80 万 
美金 ， 这 就 意味 着 尽管 在 这 个 合同 中 损失 了 一 些 收入 ,但 它 为 一 些 在 一 年 时 间 内 就 会 开始 的 更 
有 利 可 图 的 项 目 保留 了 高 水 平 的 职员 。 

因为 项 目的 成 本 与 客户 的 开价 呈 松 相关 性 , “根据 客户 预算 报价 ”是 一 种 普遍 采用 的 策略 。 
“根据 客户 预算 报价 ”意思 是 : 公司 对 客户 期 望 的 报价 有 一 定 的 了 解 ， 继 而 根据 客户 期 望 的 价格 
投标 。 这 看 似 不 道德 而 且 不 实事 求 是 ， 然 而 ， 对 于 客户 和 系统 开发 者 双方 来 说 它 确实 有 一 些 
好 处 。 

项 目 成 本 根据 项 目 建 议 书 而 定 。 开 发 商 和 客户 之 间 通 过 协商 来 建立 详细 的 项 目 描述 ， 该 描 
述 受 到 双方 认可 的 成 本 的 制约 。 买 方 和 卖方 必须 对 什么 是 可 接受 的 系统 功能 取得 共识 。 在 许多 
项 目 中 ,不 变 的 因素 是 成 本 而 不 是 项 目 需求 。 为 了 不 超出 成 本 预算 可 能 会 改变 需求 。 

举 个 例子 ,一 个 公司 (0ilSoft) 投标 为 某 石油 公司 开发 一 个 新 的 油料 传输 系统 ， 该 系统 为 公 
司 的 加 铀 服务 站 安排 油料 进度 。 由 于 没有 关于 该 系统 详细 的 需求 文件 ， 开 发 者 估计 90 万 美元 的 
价格 可 能 有 竞争 力 ， 并 且 在 石油 公司 的 预算 之 内 。 在 签订 合同 之 后 ，0ilSoft 公司 然后 协商 系统 的 
详细 需求 以 定 下 基本 的 功能 。 并 进而 估算 其 他 需求 带 来 的 成 本 。 石 油 公司 没有 必要 为 此 灰心 ， 毕 
竟 是 将 合同 授予 了 一 家 可 信任 的 公司 ， 额 外 的 需求 可 从 以 后 的 预算 中 支付 ， 因 此 石油 公司 的 预 
算 也 不 会 因为 很 高 的 软件 费用 而 受 影 响 。 


23.2 计划 驱动 的 开发 . 

计划 驱动 的 开发 或 者 是 基于 计划 的 开发 ， 它 是 一 种 给 开发 过 程 制定 详细 的 计划 的 软件 工程 
方法 。 首 先是 要 创建 项 目 计 划 。 项 目 计 划 完 整地 记录 ， 要 完成 的 工作 ， 谁 将 执行 此 项 工作 ， 开 发 
进度 安排 ， 以 及 项 目的 成 果 是 什么 。 管 理 者 使 用 计划 支持 项 目 决策 并 将 其 作为 衡量 进展 的 方法 。 
计划 驱动 开发 基于 工程 项 目 管理 技术 ， 可 以 看 做 管理 大 型 软件 开发 项 目的 传统 方法 。 和 敏捷 开 
发 比 起 来 ， 敏 捷 开 发 中 会 将 很 多 影响 开发 的 决策 推迟 到 开发 过 程 中 做 出 。 

反对 计划 驱动 的 开发 的 主要 理由 是 : 由 于 软件 开发 和 使 用 的 环境 的 变化 ， 必 须 修改 许多 早 
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期 的 决策 。 由 于 避免 了 不 必要 的 重复 工作 ， 延 迟 决策 是 明智 的 。 赞 同 计划 驱动 的 理由 是 : 早期 计 
划 能 够 很 好 地 考虑 机 构 问 题 机构 员工 等 ) ， 能 够 在 项 目 开始 前 发 现 潜在 的 问题 和 依赖 性 ， 而 不 
用 等 到 项 目 开 发 时 才 发 现 。 

在 作者 看 来 ， 项 目 规划 最 好 的 方法 是 将 计划 驱动 方法 和 敏捷 开发 结合 起 来 。 其 中 的 平衡 取 
决 于 项 目的 类 型 和 人 员 的 技术 水 平 。 在 极端 的 情况 下 ， 大 型 信息 安全 和 安全 要 求 极 高 的 系统 需 
要 大 量 的 前 期 分 析 ， 在 投入 使 用 前 必须 万 无 一 失 。 这 种 系统 大 部 分 应 该 是 计划 驱动 的 。 在 另 一 种 
极端 情况 下 ， 用 于 在 快速 变化 环境 中 的 小 型 或 中 型 信息 系统 应 该 使 用 敏捷 方法 开发 。 当 几 个 公 
司 合作 开发 项 目 时 ， 通 常 使 用 计划 驱动 的 方法 协调 各 个 开发 地 点 的 工作 。 


23.2.1 项 目 计 划 


在 计划 驱动 的 项 目 开 发 中 ， 项 目 计 划 包 括 项 目 可 用 的 资源 、 工 作 分 解 以 及 完成 工作 的 进度 
安排 。 计 划 应 该 指出 开发 的 项 目 和 软件 的 风险 以 及 用 于 风险 管理 的 方法 。 项 目 计划 书 的 具体 内 
容 随 着 项 目 和 开发 机 构 类 型 的 不 同 而 改变 。 不 过 ， 多 数 的 计划 书 应 该 包括 以 下 几 个 部 分 ; 

L 引言 ”这 一 部 分 简要 论述 项 目的 目标 ， 并列 出 影响 项 目 管理 的 种 种 约束 条 件 ， 如 预算 、 
时 间 的 限制 等 。 

2. MRAR ”这 一 部 分 阐述 开发 团队 的 组 织 方式 、 人 员 构 成 及 其 分 工 。 

3. 风险 分 析 ”这 一 部 分 分 析 项 目 可 能 存在 的 风险 以 及 这 些 风 险 发 生 的 可 能 性 ， 并 提出 降低 
风险 的 策略 。 风 险 管理 在 第 22 章 中 讨论 。 

4. 硬件 和 软件 资源 需求 ”这 一 部 分 介绍 完成 开发 所 需 的 硬件 和 支持 软件 。 如 果 需 要 购买 硬 
件 ， 应 注 明 估算 的 价格 和 交付 的 时 间 。 l 

5. 工作 分 解 这 一 部 分 把 项 目 分 解 成 一 系列 的 活动 ， 指 定 项 目 里 程 碑 和 可 交付 的 文档 ， 在 
项 目 中 里 程 碑 是 项 目的 关键 阶段 ， 借 此 可 以 评估 过 程 ， 可 交付 文档 是 能 够 交付 给 客户 的 工作 
产品 。 

6. 项 目 进度 安排 这 一 部 分 要 描述 项 目 中 各 活动 之 间 的 依赖 关系 。 到 达 每 个 里 程 碑 预期 所 
需 的 时 间 以 及 人 员 在 活动 中 的 分 配 。 本 章 下 一 节 将 讨论 进度 安排 可 能 的 表示 形式 。 

7 监控 和 报告 机 制 ”这 一 部 分 说 明 要 提交 哪些 管理 报告 、 什 么 时 候 提交 ， 以 及 使 用 什么 样 
的 项 目 监控 机 制 。 

不 但 要 制定 主 项 目 计划 ， 它 集中 分 析 项 目 风险 和 项 目 进度 安排 ， 还 要 制定 多 个 辅助 计划 ,用 
于 支持 其 他 过 程 活动 ， 比 如 测试 和 配置 管理 。 图 23-2 给 出 了 一 些 可 能 的 辅助 计划 的 例子 。 


计划 
质量 计划 
有 效 性 验证 计划 | 描述 系统 有 效 性 验证 所 采用 的 方法 、 资 源 和 进度 安排 
配置 管理 计划 描述 所 要 采用 的 配置 管理 过 程 和 结构 
维护 计划 栅 测 维护 需求 、 成 本 以 及 工作 量 
员工 发 展 计划 描述 如 何 发 展 项 目 人 员 的 技能 和 经 验 














































图 23-2 项 目 辅 助 计划 


23.2.2 规划 过 程 
项 目 规划 是 一 个 达 代 的 过 程 ， 在 项 目的 启动 阶段 初始 项 目 计划 的 创建 就 开始 了 。 图 23.3 是 
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UML 活动 图 ， 给 出 了 典型 的 项 目 规划 过 程 的 工作 流 。 计 划 不 可 避免 地 会 改变 。 由 于 在 项 目 进行 
期 间 不 断 产生 新 的 关于 系统 和 项 目 团队 的 信息 ， 所 以 必须 经 常 性 地 修正 原 有 的 计划 ， 反 映 出 需 
求 、 进 度 安排 以 及 风险 的 变更 。 业 务 目标 发 生 改 变 ， 也 会 导致 项 目 计 划 相应 地 改变 。 业 务 目标 发 
生 改 变 ， 会 影响 到 所 有 的 项 目 ， 这 些 项 目 就 必须 重新 规划 。 







«system» 
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图 23-3 项 目 规划 过 程 


在 规划 过 程 的 开始 阶段 ， 应 该 从 评估 影响 项 目的 各 种 约束 条 件 开始 。 这 些 约束 条 件 包 括 项 
目的 交付 日 期 、 现 有 的 人 员 情 况 、 总 体 预 算 、 可 用 工具 等 。 另 外 还 要 定义 项 目的 里 程 碑 和 可 交付 
文档 。 里 程 碑 是 进度 安排 中 的 能 够 估计 项 目 进展 的 那些 位 置 点 ， 比 如 移交 系统 进行 测试 。 可 交付 
文档 是 交付 给 客户 的 项 目 成 果 (比如 系统 的 需求 文档 ) 。 

接 下 去 规划 过 程 进入 一 个 循环 ， 拟定 项 目的 进度 安排 ， 并 启动 进度 安排 中 的 各 种 活动 或 继 
续 某 些 活动 。 在 一 段 时 间 之 后 (通常 约 2 ~3 个 星期 ) ， 检 查 项 目的 进展 状况 ， 注 意 项 目 进展 与 
进度 安排 的 偏差 。 因 为 最 初 对 项 目 参数 的 估算 肯定 是 近似 的 ， 存 在 小 的 拖延 是 正常 的 ， 所 以 计划 
需要 不 断 地 修改 。 | 

创建 项 目 计划 的 时 候 尊 重 事实 是 很 重要 的 。 在 一 个 项 目 中 一 些 问题 会 不 停 地 出 现 ， 这 将 导 
致 项 目的 延期 。 项 目 开始 时 的 设想 和 进度 安排 应 该 保持 低调 ， 而 不 能 太 乐观 。 在 拟定 计划 时 应 该 
把 各 种 偶然 因素 充分 考虑 进去 ， 这 样 就 不 用 在 每 一 个 规划 循环 中 都 要 重新 协商 项 目的 种 种 约束 
条 件 和 里 程 碑 等 事宜 了 。 

如 果 开 发 工作 发 生 严重 的 问题 ， 可 能 导致 项 目 很 大 的 延期 ， 就 需要 采取 风险 缓解 措施 减 
少 项 目 失败 的 风险 。 除 了 这 些 措 施 ， 还 需要 重新 规划 项 目 ， 可 能 就 项 目的 种 种 约束 条 件 和 可 
交付 的 文档 的 有 关 事 宜 ， 重 新 与 客户 协商 。 应 该 重新 建立 新 的 何 时 完工 的 进度 安排 ， 并 征 得 
客户 同意 。 

如 果 协 商 不 成 或 者 风险 缓解 措施 没有 效果 ， 就 应 该 安排 正式 的 项 目 技术 评审 。 评 审 的 目标 
是 找到 能 够 使 得 项 目 继续 进行 的 蔡 代 方法 ， 并 且 检 查 项 目 是 否 与 客户 和 软件 开发 者 的 目标 保持 
—&. 

评审 (review) 的 结果 可 能 是 做 出 取消 项 目的 决定 。 这 可 能 是 技术 上 或 者 管理 上 的 失败 。 但 
是 ,更 可 能 是 外 部 变化 影响 项 目的 结果 。 大 型 软件 的 开发 时 间 往 往 达到 数 年 。 在 开发 过 程 中 ， 业 
务 目 标 和 企业 优先 考虑 的 事情 不 可 避免 地 发 生变 化 。 如 果 这 些 变化 表示 不 再 需要 这 套 软件 或 者 
原始 项 目 需求 不 要， 管理 人 员 可 能 决定 停止 软件 开发 ， 或 者 对 项 目 做 出 重大 改变 以 反映 机 构 的 
目标 变化 。 
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23.3 项 目 进度 安排 

项 目 进度 安排 是 决定 如 何 组 织 项 目 工作 ， 将 其 分 割 成 单独 的 一 个 个 任务 ， 并 且 何 时 以 何 种 
方式 完成 各 项 任务 的 过 程 。 需 要 估算 需要 用 于 完成 各 个 任务 的 时 间 、 需 要 的 成 本 以 及 完成 这 些 
既定 任务 的 人 员 。 除 此 之 外 ， 还 必须 估算 完成 每 项 任务 所 需要 的 资源 ， 比 如 服务 器 上 需要 的 磁盘 
空间 、 需 要 在 专门 硬件 〈 如 仿真 器 等 ) 上 占用 的 时 间 以 及 项 目 人 员 的 差旅费 预算 。 正 如 本 章 绪 
论 中 讨论 的 , 项 目 启动 阶段 通常 会 创建 一 个 初始 项 目 进度 安排 。 此 进度 安排 会 在 后 续 的 开发 规划 
过 程 中 进一步 得 到 修改 。 

基于 计划 的 过 程 和 敏捷 过 程 都 需要 初始 项 目 进度 安排 ， 只 是 敏捷 项 目 计 划 不 太 详细 。 初 始 
进度 安排 用 于 计划 如 何 给 项 目 分 配 人 员 ， 检 查 项 目 进展 是 否 符合 合同 承诺 。 传 统 开发 过 程 中 ,在 
开始 阶段 就 创建 完整 的 进度 安排 ， 并 且 随 着 项 目 进行 而 修改 。 人 敏捷 过 程 中 ， 必 须 有 一 个 总 的 进度 
安排 ， 确 定 何 时 完成 项 目的 各 个 主要 阶段 。 然 后 再 使 用 和 迭代 的 方法 规划 各 个 阶段 。 

计划 驱动 项 目的 进度 安排 〈 见 图 23-4) 包括 把 一 个 项 目 所 有 的 工作 分 解 为 若干 个 独立 的 任 
务 ， 以 及 判断 完成 这 些 任 务 所 需 的 时 间 。 正 常情 况 下 项 目的 各 项 活动 应 该 至 少 持续 一 个 星期 ， 并 
短 于 两 个 月 。 更 细 的 划分 则 意味 着 在 重新 规划 和 更 新 项 目 计 划 上 会 花 掉 太 多 时 间 。 对 所 有 项 目 
活动 安排 的 最 高 的 时 间 期 限 为 8 ~ 10 周 左右 。 如 果 一 项 活动 持续 的 时 间 超 出 这 个 范围 ， 就 应 该 在 
项 目 计 划 和 进度 安排 中 再 次 细 分 。 
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活动 图 是 项 目 进 度 安 排 的 一 种 表示 方法 ， 它 给 出 那些 能 并 行 执行 的 任务 和 那些 必须 按 顺 
序 执行 的 任务 ， 这 些 都 是 根据 某 任 务 对 先前 的 任务 的 依赖 性 做 出 的 。 如 果 一 个 任务 依赖 于 几 
个 其 他 任务 ， 那 么 所 有 被 依赖 的 任务 都 必须 在 此 任务 开始 之 前 完成 。 活 动 图 中 所 谓 的 “关键 
路 径 ” 是 最 长 的 依赖 任务 序列 。 它 决定 了 项 目的 持续 时 间 。 

http://www. SoftwareEngineering-9. com/Web/ Planning/ activities. html 








图 23-4 项 目 进度 安排 过 程 


有 些 任务 是 并 行进 行 的 ， 不 同 的 员工 研发 系统 不 同 的 部 件 。 负 责 进度 安排 的 人 员 必 须 协调 这 些 
并 行 任务 并 把 整个 工作 组 织 起 来 ， 从 而 使 工作 量 资源 得 到 充分 利用 。 同 时 尽量 避免 各 个 任务 之 间 不 
必要 的 依赖 性 。 一 定 要 避免 出 现 因 一 项 关键 任务 没有 完成 而 使 整个 项 目 延 期 交付 的 情形 。 

如 果 一 个 项 目 在 技术 上 非常 先进 ， 即 使 管理 者 把 所 有 可 能 的 意外 都 考虑 进去 ， 初 始 的 估算 
肯定 是 偏 乐观 的 。 在 这 一 点 上 ， 软 件 进度 安排 与 任何 其 他 类 型 的 大 型 高 技术 项 目 没有 什么 不 
同 。 新 的 飞机 、 桥 梁 其 至 新 型 的 汽车 因为 意 想不到 的 问题 常常 延期 交付 。 因 此 ， 随 着 有 关 项 目 进 
展 信 息 的 增多 ， 必 须 不 断 地 更 新 项 目 进度 安排 。 如 果 进 行进 度 安 排 的 项 目 与 原来 某 项 目 相 似 ， 可 
以 沿用 原来 的 进度 安排 。 事 实 上 ， 由 于 不 同 项 目 可 能 使 用 不 同 的 设计 方法 和 使 用 不 同 的 实现 语 
言 ， 先 前 项 目的 经 验 可 能 不 适用 于 规划 新 项 目 。 
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在 估算 进度 时 ， 管 理 者 应 该 考虑 到 项 目 出 现 问题 的 可 能 性 。 因 为 做 这 个 项 目的 个 别人 员 可 
能 生病 或 离职 ,硬件 可 能 会 崩 演 ， 所 需 的 基本 的 支持 软件 或 硬件 有 可 能 迟 迟 不 能 交付 。 如 果 这 是 
个 新 项 目 并 且 技 术 先 进 ， 其 中 茶 些 部 分 可 能 比 原来 预期 的 要 困难 得 多 ， 花 费 的 时 间 也 多 。 

一 个 好 的 经 验 法 则 是 进行 估算 时 先 假定 什么 问题 也 没有 ， 然 后 再 把 预计 出 现 的 问题 加 到 估 
算 中 去 。 其 他 的 偶然 因素 可 能 带 来 意 想不到 的 问题 ， 在 估算 时 也 可 以 考虑 进去 。 这 些 偶 然 因素 是 
由 项 目的 类 型 、 过 程 参 数 (截止 期 限 、 标 准 等 ) 以 及 该 项 目的 软件 工程 人 员 的 素质 和 经 验 决 定 
的 。 意 外 情况 可 能 使 项 目 需要 的 成 本 和 时 间 增 加 30% ~ 50% 。 


进度 安排 表示 方法 


项 目 进度 安排 可 简单 地 用 一 个 表 来 表示 。 列 出 任务 、 工 作 量 、 计 划 工 期 、 任 务 依赖 性 CUL 
图 23 人 5)。 但 是 这 种 表示 方式 很 难 发 现 不 同 活动 之 间 的 关系 和 依赖 性 。 所 以 ， 人 们 研究 出 了 另外 
一 些 更 容易 阅读 和 理解 的 图 形 表示 方法 。 通 常 使 用 的 有 以 下 两 种 表示 方法 : 

1. 条 形 图 ， 基 于 日 历时 间 ， 条 形 图 可 以 表示 每 项 活动 的 负责 人 是 谁 ， 预 计 所 用 的 时 间 ， 以 
及 该 项 活动 预计 的 开始 和 结束 时 间 。 条 形 图 有 时 也 叫 甘 特 图 ， 是 以 发 明 人 Henry Grantt 命名 的 。 

2， 活 动 网 络 图 ， 这 是 一 个 网 络 图 ， 表 示 构 成 项 目的 不 同 活 动 之 间 的 依赖 关系 。 


依赖 关系 


Ti, T2 (M4) 
T4 (M2) 
20 15 T7, T8 (M6) 


TIO, T11 (M8) 
































































图 23-5 任务 、 持 续 时 间 以 及 依赖 关系 


通常 情况 下 ， 使 用 项 目 规划 工具 管理 项 目 进度 安排 信息 。 使 用 这 些 工 具 ， 只 需要 将 项 目 信息 
输入 在 表格 中 ， 就 会 生成 项 目 信息 数据 库 。 条 形 图 和 活动 网 络 图 从 项 目 信息 数据 库 中 自动 生成 。 

项 目 活动 是 基本 的 规划 单元 ， 每 个 活动 有 : 

l. 以 天 或 者 以 月 计算 的 工期 。 

2. 工作 量 估计 ， 反 映 完 成 工作 所 需 的 人 日 或 人 月 数 。 

3. 活动 完成 的 期 限 。 

4. 定义 好 的 终点 ， 表 示 完 成 一 项 活动 的 明确 结果 。 可 以 是 一 份 文档 ， 举 行 评审 会 ， 或 者 是 
所 有 测试 的 成 功 完成 等 。 

在 进行 项 目 规划 时 ， 应 该 建立 项 目 里 程 碑 ， 一 个 里 程 碑 就 是 项 目 中 的 每 个 阶段 ， 通 过 它 能 够 
对 项 目 过 程 进行 评估 。 每 个 里 程 碑 应 该 用 一 个 简短 的 报告 总 结 取得 的 进展 和 完成 的 工作 。 里 程 
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碑 可 能 是 关于 单个 的 任务 或 者 是 一 组 相关 联 的 活动 。 比 如 ， 在 图 23-5 中 ,里程碑 MI 和 任务 TI 
有 关 ， 而 里 程 碑 M3 和 两 个 任务 T2 、T4 有 关 。 

项 目 可 交付 的 文档 是 一 种 特殊 的 里 程 碑 。 这 是 交付 给 客户 的 项 目 成 果 。 通 常 在 项 目的 描述 、 
设计 等 主要 的 项 目 阶段 结束 时 交付 。 通 常情 况 ， 可 交付 的 文档 是 在 项 目 合同 中 明确 说 明 的 ， 在 客 
户 看 来 项 目的 进展 表现 为 这 些 可 交付 的 文档 。 

为 了 说 明 条 形 图 的 使 用 ， 我 们 创建 一 个 假想 的 一 组 任务 ， 如 下 面 的 图 23-5 所 示 。 图 中 给 出 
了 各 项 活动 、 估 计 的 工作 量 投 入 、 持 续 时 间 以 及 和 任务 之 间 的 相互 依赖 关系 。 从 图 23-5 可 以 看 
出 任务 T3 依赖 于 任务 T1， 也 就 是 说 TI 必须 要 在 T3 开始 前 完成 。 举 例 来 说 ，T1 可 能 是 组 件 设计 
的 准备 活动 ， 而 T3 就 是 该 设计 的 实现 ， 要 想 开始 实现 该 设计 ， 应 该 首先 完成 这 项 设计 。 可 以 看 
出 一 些 活动 估计 的 工期 比 必需 的 工作 量 长 ; 而 有 些 则 相反 。 如 果 工 作 量 比 工期 少 ， 这 就 表示 分 配 
到 这 个 任务 的 人 员 没 有 全 职工 作 。 如 果 工 作 量 超 过 工期 ， 就 表示 几 个 成 员 同时 进行 这 个 任务 。 

图 23-6 是 使 用 图 23-5 中 的 信息 以 图 形 的 形式 表示 项 目的 进度 安排 。 它 是 一 种 条 形 图 ， 表 示 
了 项 目的 日 程 安排 和 各 项 任务 的 开始 和 完成 日 期 。 从 左 往 右 阅读 ， 条 形 图 清晰 地 表示 任务 何 时 
开始 以 及 何 时 结束 。 条 形 图 中 也 标明 了 里 程 碑 (MI 、M2 等 ) 。 可 以 看 出 独立 的 任务 是 并 行 执行 
的 (比如 任务 T1、T2 和 T4 都 在 项 目的 起 始 处 开始 执行 ) 。 



































图 23-6 活动 的 条 形 图 


除了 考虑 进度 安排 外 ， 项 目 管理 者 还 要 考虑 资源 的 分 配 ， 尤 其 是 参加 项 目 活 动 的 人 员 的 分 
配 ， 以 及 给 他 们 分 配 项 目 任务 。 这 种 分 配 也 要 作为 项 目 管理 工具 的 输入 ， 可 以 生成 条 形 图 ， 从 而 
表示 出 在 娜 些 时 间 段 上 雇用 哪些 职员 〈 见 图 23-7) 。 项 目 职员 可 能 同时 承担 多 个 任务 ,或 者 有 时 
他 们 并 不 在 项 目 中 工作 。 在 这 期 间 他 们 可 以 休假 、 做 别 的 项 目 、 参 加 培训 或 进行 其 他 的 活动 。 图 
中 的 兼职 任务 使 用 对 角 线 在 任务 条 上 标识 。 

大 型 的 开发 机 构 通常 会 根据 项 目 需要 聘请 许多 专家 ， 这 有 可 能 影响 项 目的 进度 安排 。 在 图 
23-7 中 ， 我 们 可 以 看 到 ，Mary 是 一 位 专家 ， 他 只 参加 项 目 中 的 一 个 任务 。 这 有 可 能 引起 进度 安 
排 问题 。 如 果 一 个 有 专家 参与 的 项 目 延迟 了 ， 就 会 给 其 他 也 需要 专家 的 项 目 带 来 连锁 反应 。 因 为 
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专家 无 法 到 位 ， 这 些 项 目 很 可 能 也 要 延迟 完成 。 
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图 23-7 人 员 分 配 示意 图 


如 果 任务 延期 了 ， 将 明显 地 影响 以 后 的 依赖 于 它 的 其 他 任务 。 只 有 延期 的 项 目 完成 后 ， 其 他 
项 目 才能 开始 。 任 务 延期 会 引起 严重 的 人 员 分 配 问 题 ,特别 是 在 人 员 同 时 参与 几 个 项 目的 情况 
下 。 如 果 任 务 了 延期 ， 可 能 将 分 配给 任务 T 的 人 员 分 配 其 他 工作 (JES W)。 完 成 任务 W 可 能 
比 任务 T 的 时 间 长 ， 但 是 人 员 一 旦 分 配 出 去 ， 就 不 可 能 轻易 地 将 他 们 重新 分 配 回 原来 的 任务 
(T) 。 由 于 等 待 任务 W 的 完成 ， 这 将 进一步 导致 任务 T 的 延期 。 


23.4 ”敏捷 规划 


软件 开发 中 的 敏捷 方法 是 一 种 迭代 的 方法 ,软件 是 以 增 量 式 方式 进行 开发 和 交付 给 客户 。 
和 计划 驱动 方法 不 一 样 的 是 ， 这 些 增 量 中 的 功能 不 是 提前 计划 好 的 ， 而 是 在 开发 过 程 中 决定 的 。 
决定 增 量 包 中 包含 何 种 功能 取决 于 进展 情况 以 及 客户 的 需求 的 优先 级 。 选 择 这 个 方法 的 理由 是 : 
客户 需求 的 优先 级 和 需求 经 常 改变 ， 所 以 制定 能 适应 这 些 变化 的 灵活 的 计划 是 合理 的 。Cobn 的 
书 中 { Cohn 20053811735 | 全 面 讨论 了 敏捷 方法 中 的 项 目 规划 问 题 。 

最 常用 的 敏捷 方法 ， 比 如 Scrum (Schwaber, 2004) 和 极限 编程 (Beck，2000) ， 它 的 规划 是 
两 个 阶段 法 ， 这 两 个 阶段 分 别 对 应 着 计划 驱动 开发 的 启动 阶段 和 开发 规划 : 

l. 版 本 规划 ， 包 括 对 未 来 几 月 的 展望 以 及 决定 系统 的 发 布 版 本 中 应 该 包含 的 功能 。 

2. 选 代 规划 ， 包 括 短期 的 展望 ， 主 要 是 规划 系统 的 下 一 个 增 量 。 一 般 这 将 花费 整个 团队 2 ~ 
4 个 星期 的 工作 量 。 

第 3 章 讨 论 了 Serum 规划 方法 ， 接 下 来 重点 介绍 极限 编程 (XP) 规划 。 这 种 方法 叫做 
“规划 游戏 ”"， 参 与 人 员 包 括 整 个 开发 团队 以 及 客户 代表 。 图 23-8 表示 了 规划 游戏 的 各 个 
阶段 。 
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图 23-8 XP 中 的 规划 
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XP 中 的 系统 描述 是 基于 用 户 情节 的 ， 用 户 情节 反映 了 应 ROE RATE. SHE 
动 的 时 候 ， 开 发 团队 和 客户 试 着 定义 一 系列 的 情景 ， 使 其 能 覆盖 最 终 系统 中 包括 的 所 有 功能 。 不 
可 避免 的 是 ， 肯 定 会 遗漏 一 些 功能 ， 但 是 在 这 个 阶段 这 并 不 重要 。 

下 一 阶段 是 评估 阶段 。 项 目 组 阅读 并 且 讨论 这 些 情景 ， 然 后 按照 实现 这 些 情景 所 需要 的 时 
间 将 情景 排序 。 这 可 能 包括 将 大 的 情景 拆 分 成 较 小 的 情景 。 相 对 评估 经 常 比 绝对 估计 更 容易 。 人 
们 经 常 发 现 评估 做 某 些 事情 所 需要 的 工作 量 和 时 间 是 很 困难 的 。 然 而 ， 当 几 件 需 要 完成 的 事情 
摆 在 面前 的 时 候 ， 人 们 能 够 判断 娜 件 事 会 花费 最 多 的 时 间 和 工作 量 。 排 序 完成 以 后 ， 项 目 组 给 这 
些 情景 分 配 理论 工作 量 点 。 一 个 复杂 的 情景 需要 S 个 点 ， 简 单 的 需要 2 个 点 。 将 序列 中 所 有 情景 
都 标 上 相应 的 理论 工作 量 点 。 

进行 了 情景 评估 之 后 ， 使 用 一 个 “速度 ”的 概念 ， 将 相对 工作 量 转变 成 对 所 要 求 的 总 体 
工作 量 的 第 一 次 估计 。 在 XP 中 ， 速 度 是 项 目 组 每 天 所 能 完成 的 工作 量 点 数量 。 这 可 以 通过 之 
前 的 经 验 估计 或 者 实现 一 两 个 情景 了 解 需要 多 少时 间 。 速 度 估计 虽然 是 近似 的 ， 但 是 可 以 在 
开发 过 程 中 进一步 精练 。 一 旦 有 了 速度 估计 ， 就 能 够 以 人 日 数 的 形式 计算 实现 整个 系统 所 需 
的 工作 量 。 

发 布 规划 包括 选择 和 完善 上 述 情景 ， 这 些 情景 反映 出 了 在 系统 的 发 布 版 本 中 应 实现 的 功能 
以 及 实现 这 些 情 景 的 顺序 。 客 户 应 该 参与 这 个 过 程 。 接 下 来 选择 一 个 发 布 日 期 ， 检 查 情景 以 判断 
工作 量 估计 是 否 满足 发 布 日 期 。 假 如 不 满足 的 话 ， 增 加 或 者 删除 清单 上 的 一 些 情景 。 

适 代 规划 是 迭代 开发 过 程 的 第 一 步 。 选 择 迁 代 过 程 要 实现 的 情景 ， 情 景 的 个 数 反映 了 交付 
一 次 迭代 的 时 间 (通常 为 2~3 周 ) 和 项 目 组 的 速度 。 迭代 交付 日 期 到 达 之 时 ， 即 使 并 不 是 所 有 
情景 都 已 实现 ， 这 次 迭代 也 宣告 完成 。 项 目 组 考虑 已 实现 的 情景 ， 增 加 其 工作 量 点 。 重 新 计算 速 
度 ， 将 其 用 于 下 一 个 系统 版 本 的 规划 。 

每 次 迄 代 的 开始 ， 会 有 一 个 更 详细 的 规划 阶段 ， 开 发 人 员 将 情景 拆 分 成 各 个 开发 任务 。 一 项 
开发 任务 大 概 使 用 4 ~ 16 小 时 。 列 出 所 有 这 次 先 代 中 的 必须 完成 的 任务 。 每 个 开发 者 申请 他 们 要 
完成 的 任务 。 每 个 开发 者 知道 自己 的 开发 速度 ， 不 能 申请 比 他 们 能 在 规定 时 间 内 能 完成 的 更 多 
的 任务 量 。 

这 个 任务 分 配方 法 有 如 下 两 个 主要 的 好 处 : 

L 整个 项 目 组 对 迄 代 过 程 中 要 完成 的 任务 有 一 个 整体 认识 。 因 此 他 们 能 够 理解 项 目 组 其 他 
成 员 的 工作 内 容 以 及 确定 任务 依赖 关系 后 应 和 谁 交流 。 

2. 每 个 开发 者 选择 要 完成 的 任务 ; 并 不 是 简单 地 由 项 目 管理 者 分 配 任务 。 这 样 开发 者 对 自 
己 选择 的 任务 有 一 种 拥有 感 ， 就 可 能 激发 他 们 更 好 地 完成 任务 。 

迁 代 过 程 进行 到 一 半 的 时 候 ， 进 行进 展 评审 。 这 时 ， 应 该 已 完成 一 半 的 情景 工作 量 点 。 所 
Lh, WRU CELE 24 个 情景 点 和 36 个 任务 。 应 该 已 完成 12 个 情景 点 和 18 个 任务 。 如 果 没 
有 完成 的 话 ， 必 须 征询 客户 的 意见 删除 选 代 中 的 一 些 情景。 

这 种 规划 方法 有 一 个 好 处 : 软件 一 直 处 于 发 布 和 规划 之 中 ， 没 有 进度 安排 。 如 果 不 能 按时 完 
成 工作 ，XP 的 观点 是 减少 工作 量 ， 而 不 是 延长 进度 安排 。 然 而 在 某 些 情况 下 ， 所 发 布 的 增 量 可 
能 不 能 满足 当前 用 户 使 用 的 要 求 。 减 量 会 给 客户 带 来 额外 负担 ， 因 为 他 们 不 得 不 使 用 不 完整 的 
系统 或 者 因 在 两 个 系统 版 本 之 间 的 切换 改变 了 他 们 的 工作 方式 。 

敏捷 方法 中 的 主要 困难 在 于 它 依赖 于 客户 参与 。 实 际 上 ， 由 于 客户 代表 必须 先 忙于 其 他 工 
作 ， 这 很 难 安排 。 客 户 可 能 更 加 熟悉 传统 项 目 规划 ， 也 许 很 难 参 与 敏捷 规划 项 目 。 

对 于 那些 能 聚 在 一 起 讨论 要 实现 的 情景 的 小 型 的 、 稳 定 的 开发 团队 而 言 ， 敏 捷 方 法 能 够 很 
好 地 运作 。 但 是 对 于 那些 庞大 并 且 分 布 在 不 同 地 点 的 项 目 组 或 者 组 员 频繁 变动 的 项 目 组 而 言 ， 
实际 上 不 可 能 每 个 人 参与 到 敏捷 项 目 管理 中 最 为 核心 的 集体 规划 中 。 所 以 ， 通 常 使 用 传统 软件 
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管理 方法 对 大 型 项 目 进 行规 划 。 


23.5 估算 技术 

项 目 进度 估算 非常 困难 。 初 始 的 估算 可 能 需要 根据 高 层 的 用 户 需 求 定义 做 出 。 软 件 可 能 需 
要 运行 于 某 些 特殊 类 型 的 计算 机 上 ， 或 者 需要 运用 到 新 的 开发 技术 。 对 参与 到 项 目 中 来 的 人 员 
的 技术 水 平 可 能 还 一 无 所 知 。 如 此 多 的 不 确定 因素 意味 着 ， 在 项 目 早期 阶段 对 系统 开发 成 本 进 
行 精确 估算 是 相当 困难 的 。 

评估 用 于 成 本 和 工作 量 估算 的 不 同方 法 的 精确 性 有 它 固有 的 困难 。 项 目 估算 通常 是 先 人 为 
主 的 。 项 目 估算 是 用 来 确定 项 目 预 算 ， 然 后 通过 调整 产品 以 保证 预算 不 被 突破 。 为 了 让 项 目 开支 
控制 在 预算 之 内 ， 可 能 会 牺牲 掉 -- 些 待 开发 的 软件 特性 。 

作者 的 经 验 是 : 任何 一 个 受 控 的 项 目 成 本 估计 实验 ， 其 间 都 受到 成 本 的 左右 。 受 控 实 验 不 会 
向 项 目 管理 人 员 揭 示 出 成 本 估算 。 实 际 的 成 本 将 与 估计 的 项 目 成 本 进行 比较 。 尽 管 如 此 ， 机 构 还 
是 需要 对 软件 所 需 工 作 量 和 成 本 进行 估算 的 。 有 以 下 两 种 类 型 的 估算 技术 ; 

l. 基于 经 验 的 技术 ”使 用 管理 者 之 前 项 目 和 应 用 领域 的 经 验 估算 要 求 的 未 来 工作 量 ， 即 管 
理 者 主观 给 出 所 需要 的 工作 量 的 一 个 估计 。 

2. 算法 成 本 建 模 在 此 方法 中 ， 使 用 一 个 公式 方法 计算 项 目的 工作 量 ， 它 基于 对 产品 属性 
(比如 规模 ) 和 过 程 特点 ( 比如 参与 员工 的 经 验 ) 的 估计 。 

无 论 以 上 哪 种 技术 ， 都 需要 使 用 眼力 直接 估算 工作 量 或 者 估算 项 目 和 产品 特点 。 在 项 目的 启动 
阶段 ， 估 计 的 偏差 比较 大 。 基 于 从 大 量 项 。 
目 中 收集 的 数据 ，Boehm (1995) 发 现 
启动 阶段 的 估算 差异 巨大 。 假 如 开始 的 工 4. 
作 量 估计 是 x 个 月 ,那么 系统 交付 时 测量 
的 实际 工作 量 范围 可 能 是 0. 25x ~4x 之 间 。 

在 开发 规划 中 ， 随 着 项 目的 进行 估算 会 越 
来 越 准确 (TL 23-9), os 

基于 经 验 的 技术 依赖 管理 者 之 前 项 
目的 经 验 以 及 这 些 项 目 中 有 关 软 件 开 发 
活动 上 的 实际 工作 量 投入 。 通 常 ， 项 目 
管理 者 需要 定义 项 目 中 要 生成 的 可 交付 图 239 估算 的 不 确定 性 
物 以 及 不 同 的 软件 组 件 或 者 要 开发 的 系统 。 将 这 些 内 容 记录 在 电子 表格 中 ,单独 估算 各 个 子 项 ， 
再 计算 需要 的 总 工作 量 。 通 常 召集 一 组 人 参与 估算 工作 量 ， 并 要 求 每 个 组 员 解 释 各 自 的 估算 结 
果 ， 这 样 做 很 有 帮助 。 很 多 情况 下 这 将 暴露 别人 没 考虑 到 的 因素 ， 管 理 者 重复 这 个 过 程 谋求 一 个 
达成 共识 的 估算 结果 。 

基于 经 验 的 技术 的 困难 在 于 一 项 新 软件 项 目 可 能 和 之 前 的 项 目 没有 太 多 的 共同 点 。 软 件 开 
发 发 展 非常 迅速 ,项 目 经 常 使 用 一 些 不 熟悉 的 技术 ， 比 如 页 面 服务 ， 基 于 COTS 的 开发 ,或 者 
AJAX. 如 果 管理 者 没有 使 用 过 这 些 技术 ,之 前 的 经 验 可 能 对 估算 需要 的 工作 量 没有 帮助 ， 从 而 
使 准确 的 成 本 和 进度 估算 更 加 困难 。 


23. 5.1 算法 成 本 建 模 


算法 成 本 建 模 基于 项 目的 规模 、 开 发 的 项 目 类 型 、 其 他 团队 、 过 程 和 产品 因素 ， 用 一 个 数学 
公式 预测 项 目的 成 本 。 算 法 成 本 模型 可 以 通过 对 已 完成 项 目的 成 本 及 其 特性 的 分 析 建 立 起 来 ， 
并 找到 最 接近 的 公式 适应 实际 情况 。 
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算法 成 本 模型 主要 用 于 估算 软件 的 开发 成 本 ， 但 Boehm 以 及 他 的 合作 者 (2000) 讨论 了 这 
些 模 型 的 另外 一 些 用 途 ， 比 如 软件 公司 投资 者 估算 的 准备 ， 帮 助 评 佑 风险 的 可 选 策略 ， 以 及 关于 
经 验 性 的 复 用 、 再 开发 或 外 购 的 决策 。 

软件 项 目 中 的 工作 量 估算 的 算法 模型 可 基于 一 个 简单 的 公式 ， 

Effort = A x Size” x M 

A 是 一 个 常数 因子 ， 依 赖 于 机 构 的 实践 经 验 和 所 开发 的 软件 类 型 。Size 可 以 是 软件 的 代码 行 
数 或 是 用 功能 点 或 应 用 点 表示 的 功能 的 估算 。 指 数 B 的 值 通常 在 1~1.5 之 间 ，M 是 一 个 乘 数 因 
T. 反映 了 过 程 、 产 品 、 开 发 属性 ， 例 如 软件 的 可 依赖 性 和 需求， 以 及 开发 团队 的 经 验 等 综合 
因素 。 

交付 的 系统 中 的 源 代 码 的 行 数 〈《SLOC) 是 基本 的 规模 度量 标准 ， 可 以 用 于 许多 的 算法 成 本 
建 模 。 规 模 估计 包括 类 比 其 他 项 目的 估计 ， 把 函数 或 者 应 用 点 数 转化 成 代码 多 少 的 估计 ， 将 系统 
组 件 按 规 模 排 序 并 使 用 已 知 参照 组 件 估计 组 件 规模 ， 或 者 只 是 简单 地 从 一 个 提问 获得 对 此 的 工 
程 判 断 。 

绝 大 多 数 算法 估算 模型 都 有 指数 成 分 (上 式 中 的 B) ， 这 与 规模 和 系统 的 复杂 度 有 关 。 这 反 
映 了 一 个 事实 ， 那 就 是 ， 成 本 一 般 都 不 是 与 项 目 规模 呈 线 性 关系 的 。 随 着 软件 规模 和 复杂 度 的 增 
大 ,扩大 的 团队 的 通信 费用 在 增加 ， 需 要 的 配置 管理 更 复杂 ， 系 统 的 集成 难度 也 在 加 大 ， 所 有 这 
些 都 要 付出 额外 的 费用 。 系 统 越 复 杂 ， 这 些 因素 影响 成 本 越 多 。 因 此 ， 通 常 B 的 值 随 着 系统 的 
规模 和 复杂 度 增加 。 

所 有 的 算法 模型 都 存在 同样 一 些 难题 : 

L 在 项 目 早期 阶段 只 有 描述 存在 的 情况 下 ， 估 算 Size 值 通常 是 个 难题 。 功 能 点 和 应 用 点 估 
算 (后 面 将 谈 到 ) 比 估 算 代 码 长 度 要 容易 ， 但 是 不 够 精确 。 

2. AF BAM 的 估算 往往 带 有 主观 色彩 。 对 其 估算 因 人 而 异 ， 这 与 一 个 人 的 经 验 和 背景 
有 关 。 

准确 的 代码 规模 估算 在 项 目 早 期 是 很 难 的 ， 因 为 最 终 程序 规模 依赖 于 设计 决策 ， 而 需要 佑 
算 的 时 候 决策 还 未 形成 。 举 例 来 说 ， 一 个 需要 复杂 数据 管理 的 应 用 ， 可 以 使 用 自己 实现 的 数据 管 
理工 具 ， 也 可 以 使 用 商业 数据 库 。 在 最 初 的 成 本 估计 时 ， 不 可 能 知道 是 否 存 在 表现 足够 好 、 能 够 
满足 运行 需求 的 商业 数据 系统 。 所 以 不 知道 要 在 系统 中 加 入 多 少数 据 管理 代码 。 

系统 开发 所 使 用 的 程序 语言 也 会 产生 重要 影响 。 使 用 像 Java 这 样 的 语言 较 之 使 用 C 语言 ， 
可 能 意味 着 需要 较 多 的 程序 代码 。 不 过 ， 这 些 额 外 的 代码 会 带 来 更 多 编译 时 检查 ， 所 以 检验 成 本 
就 会 降低 。 如 何 考虑 这 些 因 素 ? 此 外 ， 在 软件 开发 过 程 中 复 用 的 程度 也 一 定 要 估算 ， 由 此 修正 对 
Size 值 的 估算 。 

算法 成 本 模型 是 一 种 估算 开发 一 套 系统 所 需 工作 量 的 系统 方法 。 然 而 ， 这 些 模型 很 复杂 而 
且 很 难 使 用 。 模 型 中 有 很 多 的 属性 ， 在 估算 它们 的 值 的 时 候 有 相当 大 的 不 确定 性 。 这 种 复杂 性 阻 
碍 了 许多 潜在 的 用 户 ， 因 此 只 限于 一 小 部 分 公司 实际 应 用 算法 成 本 模型 。 

使 用 算法 模型 的 另 一 个 障碍 是 需要 校准 。 模 型 用 户 应 该 根据 他 们 自己 的 历史 项 目 数据 校准 他 们 
的 模型 和 参数 值 ， 因 为 这 反映 了 部 门 实际 和 经 验 。 但 是 几乎 没有 机 构 从 过 去 的 项 目 中 收集 了 足够 的 
数据 ， 这 种 数据 会 以 一 种 表格 的 形式 存在 以 支持 模型 校准 。 因 此 ， 算 法 模型 的 实际 使 用 必须 以 模型 
参数 的 发 布 值 开始 。 实 际 上 建 模 者 不 可 能 知道 这 些 是 如 何 紧密 地 关联 到 他 们 自己 的 机 构 的 。 

如 果 算 法 模型 用 于 项 目 成 本 计算 ， 需 要 用 所 估算 的 项 目 类 型 数据 进行 校正 ， 对 于 模型 的 输 
出 也 要 慎重 解释 。 估 算 者 应 该 做 一 系列 估算 (最 坏 估 算 、 期 望 估算 和 最 好 估算 ) 而 不 是 单 _ 估 
算 ， 并 用 成 本 计算 公式 都 计算 一 遍 。 初 始 估 算 中 的 错误 有 可 能 是 相当 大 的 。 只 有 在 对 产品 已 经 非 
常 了 解 ， 所 使 用 的 模型 经 过 机 构 的 长 期 使 用 ， 其 参数 已 经 校正 得 较为 准确 ， 而 且 语言 和 硬件 选择 
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都 预先 确定 了 的 情况 下 ， 成 本 估算 才 最 有 可 能 取得 精确 的 结果 。 
23.5.2 COCOMO I| #2! 


人 们 已 经 提出 几 个 相似 模型 用 来 帮助 估算 工作 量 、 进 度 和 成 本 。 本 节 专 门 讨论 COCOMO II 
模型 。COCOMO [模型 完全 是 一 个 经 验 模 型 。 获 得 该 模型 的 途径 是 这 样 的 ; 首先 从 大 量 软 件 项 
目 中 收集 数据 ， 然 后 通过 对 这 些 数据 的 分 析 找 出 与 观察 资料 最 相符 合 的 公式 。 这 些 公式 将 系统 
的 规模 、 产 品 、 项 目 和 团队 因素 等 与 开发 系统 的 工作 量 联系 起 来 。COCOMO 开 是 一 个 良好 文档 
化 的 、 非 专利 估算 模型 。 

COCOMO 模型 很 大 部 分 基于 原 代码 开发 (Boehm, 1981; Boehm 和 Royce, 1989), COCOMO 
开 模 型 是 从 早期 的 COCOMO 模型 开发 而 来 。COCOMO IT 模型 在 软件 开发 中 考虑 到 更 多 的 现代 方 
法 ， 比 如 使 用 动态 语言 的 快速 开发 、 组 件 组 合 开发 ， 以 及 使 用 数据 库 编 程 。COCOMO 下 模型 支 
持 开发 的 螺旋 式 模型 ， 见 第 2 章 ， 且 内 典 了 一 些 进行 渐进 深入 的 估算 的 子 模型 。 

作为 COCOMO 下 模型 一 部 分 的 子 模型 ( 见 图 23-10) 有 : 

1. 应 用 组 合 模型 ” 它 对 所 需 的 工作 量 建 模 ， 所 开发 的 系统 是 由 可 复 用 组 件 、 脚 本 或 数据 库 编 
程 创 建 而 得 。 软 件 规模 估算 基于 应 用 点 ， 还 有 个 简单 的 规模 /生产 率 公式 用 于 估算 所 需 的 工作 量 。 
程序 中 的 应 用 点 是 一 种 加 权 估 计 ， 对 以 下 几 项 进行 加 权 计算 : 单独 的 显示 屏幕 的 数量 ， 生 成 的 报告 
的 数量 ， 命 令 式 编程 语言 (比如 Java) 中 的 模块 数量 ， 脚 本 语言 或 者 数据 库 编 程 代码 的 行 数 。 

2. 早期 设计 模型 ”这 个 模型 用 于 在 得 到 需求 之 后 的 早期 系统 设计 阶段 。 估 计 是 基于 在 引言 
中 谈 到 的 标准 估计 公式 ， 一 组 包含 7 个 因子 的 简化 了 的 参数 。 使 用 功能 点 进行 估算 ， 然 后 转化 为 
源 代 码 的 行 数 。 功 能 点 是 一 种 独立 于 语言 的 量化 程序 功能 的 方式 。 通 过 衡量 或 者 估算 外 部 输入 
和 输出 的 数量 、 用 户 迭 代 的 次 数 、 外 部 界面 的 数量 ， 以 及 系统 使 用 的 文件 或 数据 库 的 数量 ， 计 算 
出 程序 中 的 所 有 功能 点 数目 。 

3. 复 用 模型 ”这 个 模型 用 于 计算 集成 可 复 用 组 件 和 /或 由 设计 或 自动 生成 的 程序 代码 所 需 的 
工作 量 。 它 一 般 与 后 体系 结构 模型 结合 使 用 。 

4. 后 体系 结构 模型 ” 当 设 计 出 系统 体系 结构 后 ， 就 可 以 对 软件 规模 做 更 精确 的 估算 。 这 个 
模型 也 使 用 上 面谈 到 的 成 本 估算 的 标准 公式 ， 但 它 包 含 了 更 广泛 的 有 17 个 反映 个 人 能 力 和 产品 
与 项 目 特征 的 参数 集合 。 
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图 23-10 COCOMO 估计 模型 
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当然 ， 在 大 型 系统 中 ， 不 同 部 分 可 能 使 用 不 同 的 技术 进行 开发 ， 不 必要 求 以 同等 的 精确 度 估 
算 系统 的 所 有 部 分 。 在 这 种 情况 下 可 以 为 每 个 部 分 采用 适当 的 子 模型 ， 然 后 合并 这 些 结果 得 到 
一 个 合成 的 估算 值 。 
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软件 生产 率 是 对 软件 工程 师 在 每 周 或 每 个 月 完成 的 开发 工作 的 一 个 平均 数量 的 估计 。 因 
而 它 表达 为 每 月 代码 行 数 ， 每 月 功能 点 数 等 。 

然而 ， 在 具有 有 形 的 结果 (例如 ， 办 事 员 每 天 处 理 N 个 票据 ) 的 地 方 ， 生 产 率 是 容易 计 
算出 来 的 ， 而 软件 生产 率 相 对 而 言 就 十 分 难于 定义 。 不 同 的 人 对 于 相同 的 功能 会 用 不 同 的 方 
式 实现 ， 结 果 他 们 使 用 的 代码 行 数 就 会 不 同 。 代 码 的 质量 也 是 重要 的 ， 但 是 在 某 种 程度 上 ， 
是 主观 性 的 。 因 而 比较 不 同 软件 工程 师 闻 的 生产 率 是 很 不 可 人 靠 的 ， 因 此 对 项 目 规划 没有 太 大 
的 用 处 。 
http://www. SoftwareEngineering-9. com/Web/Planning/ productivity. html 


应 用 - 组合 模型 

将 应 用 -组合 模 型 引入 COCOMO J 以 支持 对 项 目 所 需要 的 工作 量 进行 估算 。 此 模型 适合 于 原型 
构造 型 项 目 和 通过 已 有 的 组 件 组 合 进行 软件 开发 的 项 目 。 它 的 计算 是 基于 加 权 的 应 用 点 (有 时 也 称 
为 对 象 点 ) 除 以 一 个 标准 应 用 点 生产 率 。 然 后 按照 开发 每 个 应 用 点 (Boehm 等 ，2000) 的 难度 对 估 
算 值 进行 调整 。 程 序 员 的 生产 率 取决 于 开发 者 的 经 验 、 能 力 以 及 所 使 用 的 软件 工具 (ICASE) 的 水 
平 。 图 23-11 是 COCOMO 模型 开发 者 给 出 的 不 同 应 用 点 生产 率 水 平 (Boehm 等 ，1995) 。 


低 .一 般 高 非常 高 
一 般 高 非常 高 
13 25 50 


图 23-11 应 用 点 生产 率 


应 用 合成 通常 包括 大 量 的 软件 复 用 ， 很 肯定 的 是 系统 里 应 用 点 中 的 一 部 分 可 能 由 可 复 用 组 
件 来 实现 ， 这 就 需要 考虑 到 预期 复 用 部 分 所 占 的 比例 来 调整 基于 应 用 点 总 数 的 估算 。 因 此 ， 对 于 
原型 系统 开发 项 目的 工作 量 计算 的 最 后 公式 是 : 

PM = (NAP x (1 - 96 reuse/100) ) /PROD 
其 中 ，PM 是 以 人 月 为 单位 的 工作 量 ，NAP 是 交付 系统 的 应 用 程序 点 的 总 数 ,% reuse 是 在 开发 中 
利用 的 代码 重 的 估计 ，PROD 是 如 图 23-11 所 示 的 应 用 点 生产 率 。 这 个 模型 产生 的 估计 只 是 近似 
情况 ， 它 并 未 考虑 复 用 中 的 额外 工作 量 。 

早期 设计 模型 | 

在 项 目的 初始 阶段 使 用 这 个 模型 ， 此 时 还 未 对 系统 体系 结构 做 出 详细 的 设计 。 早 期 设计 全 
计 对 于 选择 探索 是 最 为 有 用 的 ， 此 时 我 们 需要 比较 实现 用 户 需求 的 各 种 方式 。 早 期 设计 模型 假 
定 用 户 需求 已 经 确定 以 及 系统 设计 过 程 的 初始 阶段 已 经 开始 。 这 一 阶段 的 任务 应 当 是 简单 快速 
地 做 一 个 大 略 的 成 本 估计 。 因 此 需要 做 出 各 种 简单 化 的 假设 ， 如 集成 可 复 用 代码 的 工作 量 为 零 。 

在 这 一 阶段 做 出 的 估算 是 基于 算法 模型 的 标准 公式 得 出 的 ， 即 

Effort = A x Size? x M 

Boehm 基于 他 自己 的 大 型 数据 集 提出 对 于 这 一 阶段 的 估算 ， 系数 A 应 该 为 2.94， 系 统 的 规 
IRH KSLOC 表示 ， 即 源 程序 代码 以 千 行为 单位 的 数量 。 这 是 通过 估算 软件 中 功能 点 数 ， 然 后 使 
用 标准 表格 将 功能 点 转换 成 KSLOC 来 计算 的 ， 这 个 标准 表格 针对 不 同 语言 ， 给 出 功能 点 和 软件 
规模 的 对 应 值 。 














开发 者 的 经 验 和 能 力 
CASE 工具 的 成 熟 度 和 能 力 
PROD (NOP/ 月 ) 
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指数 了 反映 了 随 着 项 目 规 模 的 扩大 所 需 工作 量 的 增长 。 它 可 以 在 1.1 ~1.24 之 间 变 动 ， 与 项 
目的 创新 程度 、 开 发 的 灵活 性 、 采 用 的 风险 处 理 过 程 、 开 发 团队 凝聚 力 ， 以 及 机 构 的 过 程 成 熟 度 
( 见 第 26 BE) 水 平等 密切 相关 。 在 关于 COCOMO 开 的 后 体系 结构 模型 中 会 描述 用 这 些 参数 计算 
该 指数 的 方法 。 

由 此 得 到 下 列 工作 量 计 算 公式 : 

PM =2. 94 x Size ^ x M 
这 里 
M = PERS x RCPX x RUSE x PDIF x PREX x FCIL x SCED 

REAT M 基于 7 个 项 目 和 过 程 属性 ， 这 可 以 增加 或 减少 估计 。 用 在 早期 设计 模型 中 的 这 
些 属性 分 别 是 : 产品 可 靠 性 和 复杂 性 (RCPX)， 要 求 的 复 用 数 CRUSE), 平台 困难 程度 
(PDIF) ， 个 人 能 力 (PERS) ,个 人 经 验 (PREX) ， 进 度 (SCED) 以 及 支持 设施 (FCIL)。 本 书 
的 网 页 上 有 对 这 些 属性 的 解释 。 对 这 些 因子 的 取 值 可 以 分 成 六 档 ,“ 非 常 低 ” 的 值 该 因子 赋值 1， 
对 具有 “非常 高 ”的 值 该 因子 赋值 为 6。 

复 用 模型 

如 在 第 16 章 所 述 ， 软 件 复 用 目前 很 普遍 ， 大 多 数 大 型 系统 都 有 很 大 一 部 分 代码 是 从 以 前 开 
发 的 系统 中 复 用 而 来 。 复 用 模型 用 于 估计 集成 可 复 用 代码 或 已 生成 代码 所 需 的 工作 量 。 

COCOMO 五 将 复 用 的 代码 分 为 两 类 。 黑 盒 代码 是 那 种 不 需 去 理解 或 做 出 改动 的 代码 ， 对 黑 
盒 代 码 不 需要 进行 开发 工作 。 白 盒 代 码 需 要 将 新 代码 或 其 他 复 用 组 件 的 代码 改编 整合 在 一 起 ， 
它 的 复 用 需要 一 些 开 发 工作 ， 因 为 需要 理解 并 修改 以 使 它 在 系统 中 正常 工作 。 

许多 系统 包括 根据 系统 模型 自动 生成 的 代码 ， 见 第 5 章 。 模 型 (通常 使 用 UML 描述 ) 经 过 
分 析 ， 模 型 中 定义 的 对 象 生 成 为 代码 。COCOMO 复 用 模型 包括 一 个 用 于 估算 集成 这 些 生成 的 代 
码 要 求 的 工作 量 的 公式 : 

PM,,, = ( ASLOC x ( AT/100) )/ATPROD// 生 成 代码 的 估计 
A: ASLOC 是 复 用 代码 的 总 行 数 ， 包 含 自动 生成 的 代码 。AT 是 自动 生成 的 复 用 代码 所 占 的 百 
分 比 。ATPROD 是 工程 师 在 集成 这 些 代码 时 的 生产 率 。 

Boehm 等 人 (2000) 估计 ATPROD 为 每 月 2400 条 源码 语句 。 因 此 ， 如 果 在 系统 中 有 20000 

行 复 用 代码 且 其 中 30% 是 自动 生成 的 ， 则 整合 这 些 生成 代码 的 工作 量 是 ; 
(20 000 x 30/100) /2400 =2.5 人 月 // 生 成 代码 的 例子 

可 使 用 另 一 个 计算 方法 估算 整合 这 些 其 他 系统 的 复 用 代码 需要 的 工作 量 。 复 用 模型 不 直接 
从 复 用 组 件 的 数量 估计 计算 工作 量 ， 而 是 根据 复 用 的 代码 行 数 计算 等 价 于 新 代码 行 数 的 量 。 模 
型 为 计算 等 价 的 新 代码 (ESLOC) 行 数 提供 了 一 个 基础 。 这 基于 需要 改变 的 复 用 代码 的 行 数 以 
及 一 个 能 反映 复 用 这 些 组 件 需要 做 的 工作 量 的 乘 数 。 用 于 计算 ESLOC 的 公式 考虑 了 软件 理解 、 
对 复 用 代码 的 修改 ， 以 及 修改 系统 以 集成 这 些 代 码 所 需 的 工作 量 。 


















Q COCOMO 1 成 本 形成 因素 


COCOMO 开 成 本 形成 因素 是 反映 产品 、 团 队 、 过 程 以 及 机 构 因 素 的 某 些 属性 ， 这 些 属 性 
影响 软件 系统 开发 中 所 需 的 工作 量 。 例 如 ， 如 果 需 要 高 级 别 的 可 靠 性 ， 那 就 需要 投入 额外 的 
工作 量 ; 如 果 有 快速 交付 的 需要 ， 那 同样 会 有 额外 的 工作 量 ; 如 果 团 队 成 员 变 化 了 ， 也 会 需要 
额外 的 工作 量 。 

在 COCOMO 开 模 型 中 有 17 个 这 样 的 属性 ， 此 模型 的 提出 者 给 这 些 属性 赋予 了 特定 的 值 。 
http://www. SoftwareEngineering-9. com/Web/Planning/costdrivers, html 
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下 面 的 公式 用 于 计算 等 价 的 源 代码 行 数 ; 
ESLOC = ASLOC x AAM 
式 中 : ESLOC 是 新 源 代码 的 相当 行 数 。ASLOC 必须 修改 的 组 件 的 代码 行 数 。AAM 是 改写 调整 因 
CT, 下面 讨论 。 

复 用 是 有 代价 的 ， 即 使 在 不 改善 原 代码 的 情况 下 也 会 产生 一 些 开 销 。 但 是 随 着 复 用 代码 量 
的 增加 复 用 的 开销 在 降低 。 固 定 的 理解 和 评估 的 成 本 分 布 到 了 更 多 的 代码 行 上 。 改 写 调 整 因子 
(AAM) 调整 估计 以 反映 复 用 代码 需要 的 额外 的 工作 量 。 简 单 来 说 ，AAM 是 3 个 部 分 之 和 ;: 

L 改写 部 分 ( 称 为 AAF) ， 表 示 修 改 这 些 复 用 代码 的 成 本 。 改 写 部 分 包括 设计 、 编 码 和 集成 
等 修改 几 个 子 部 分 。 

2. 理解 部 分 〈 称 为 SU) ， 表 示 理 解 要 复 用 的 代码 以 及 工程 师 熟悉 这 些 代码 所 需 的 代价 。SU 
的 范围 为 50 ~10, 50 表示 复杂 的 非 结构 化 代码 ，10 表示 书写 良好 的 面向 对 象 的 代码 。 

3. 评估 因子 〈 称 为 AA) ， 表 示 复 用 的 决策 成 本 。AA 包括 决定 代码 是 否 能 复 用 的 必要 的 一 些 
分 析 人 代价。 根据 所 需 的 分 析 工 作 量 的 不 同 AA 的 值 从 0 变化 到 8。 

如 果 能 自动 完成 一 些 代 码 改 写 ， 将 减少 需要 的 工作 量 。 因 此 通过 估计 自动 调整 的 代码 CAT) 
的 百分比 调整 估算 ， 并 使 用 AT 调整 ASLOC。 因 此 最 终 公式 为 : 

ESLOC = ASLOC x (1 - AT/100) x AAM 

一 县 计算 出 ESLOC， 就 可 以 应 用 标准 估算 公式 计算 总 工作 量 ， 规 模 参 数 等 于 ESLOC。 接 下 
来 将 这 加 到 已 计算 完 的 集成 自动 产生 代码 的 工作 量 ， 就 可 以 计算 出 需要 的 总 工作 量 。 

后 体系 结构 层 

后 体系 结构 模型 是 COCOMO 开 模型 中 最 详细 的 一 个 。 当 系统 的 初始 结构 设计 完成 ， 已 知 子 
系统 结构 后 就 会 用 到 它 。 然 后 评估 系统 的 每 个 部 分 。 

在 后 体系 结构 层 产生 的 估算 所 依据 的 基本 公式 与 早期 设计 估算 中 的 基本 公式 相同 ， 

PM = A x Size? x M 

到 这 个 阶段 为 止 ， 因 为 知道 如 何 将 系统 分 解 为 各 个 对 象 或 者 模块 ， 软 件 规模 的 估算 在 这 个 
阶段 中 要 准确 得 多 。 估 算 代 码 规模 需要 下 面 3 个 参数; 

1. 要 开发 的 新 代码 行 数 的 估计 (SLOC); 

2. 基于 用 复 用 模型 计算 得 到 的 等 价 代码 行 数 (ESLOC) 的 复 用 成 本 的 估计 ; 

3， 由 于 需求 变更 可 能 要 修改 的 代码 行 数 的 估计 。 

这 3 个 估计 值 加 起 来 得 到 总 的 代码 规模 KSLOC， 用 在 工作 量 计 算 公式 中 。 最 后 一 个 估计 
值 一 一 要 修改 的 代码 行 数 一 一 反映 了 软件 需求 经 常会 变化 。 应 该 考虑 到 这 将 引起 重复 工作 以 及 开 
发 额外 的 代码 。 当 然 这 个 数值 常常 比 要 开发 的 新 代码 的 估计 有 更 多 的 不 确定 性 。 

在 工作 量 计算 公式 中 的 指数 项 与 项 目的 复杂 程度 有 关 。 当 项 目 较 复杂 时 ， 增 加 系统 规模 的 
工作 量 耗费 明显 增 大 。 不 过 ,机构 的 实践 经 验 和 规程 能 控制 这 种 因 规 模 增 加 的 费用 ， 这 种 费用 也 
十 增加 复杂 度 的 结果 。 通 过 分 析 如 图 23-12 所 示 的 5 个 因子 来 计算 指数 B 的 值 。 这 些 因子 都 有 从 
0-5 六 个 等 级 ，0 表示 “非常 高 ”5 表示 “非常 低 "。 计 算 BE, 将 这 些 估 算 值 相 加 再 除 以 100, 
然后 再 加 上 1.01 就 是 该 指数 项 的 取 值 了 。 

比如 ， 我 们 假定 一 个 机 构 正 承 担 一 个 项 目 ， 机 构 对 于 该 项 目 所 在 领域 没有 经 验 。 项 
户 没 有 定义 需要 采用 的 过 程 ， 在 项 目 进度 中 也 没有 安排 重大 风险 分 析 ， 而 且 还 需要 组 织 一 
新 的 开发 团队 来 完成 这 个 系统 。 该 机 构 最 近 刚 实行 过 程 改善 计划 ， SPH GH Stl ve.) tne 
型 ， 如 第 26 章 中 讨论 的 。 已 经 被 评定 为 2 级 机 构 。 在 进行 指数 计算 时 用 于 评级 的 可 能 取 值 
如 下 : 
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级 别 因 素 




















有 先例 可 援引 验 ; 非常 高 意味 荐 机 构 非 常熟 悉 此 应 用 领域 











开发 的 灵活 性 非常 高 意味 着 客户 只 设 定 了 总 目标 












团队 凝聚 力 在 很 大 困难 ; 非常 高 意味 着 一 个 团结 高 效 的 团队 ， 没 有 沟通 障碍 








但 是 可 以 通过 从 5 PRE CMM 过 程 成 熟 度 级 别 来 获得 一 个 估计 
图 23-12 在 后 体系 结构 模型 中 指数 计算 所 用 的 级 别 因素 
l. 有 先例 可 援引 取 值 为 “ 低 ”(4)。 这 是 机 构 的 一 个 新 项 目 。 














反映 机 构 在 此 类 型 项 目 上 先前 所 获得 的 经 验 。 非 常 低 意味 着 没有 先前 经 

反映 开发 过 程 的 灵活 性 级 别 。 非 常 低 意味 着 使 用 一 个 预先 指定 的 过 程 ; 
反映 了 所 执行 的 风险 分 析 的 程度 。 非 常 低 意味 着 几乎 没有 分 析 ;非常 高 

体系 结构 /风险 解决 方案 | 意味 着 完全 彻底 的 风险 分 析 

反映 了 开发 团队 成 员 入 此 了 解 和 一 起 工作 有 多 好 。 非 常 低 意 味 着 交互 存 


反映 了 机 构 的 过 程 成 熟 度 。 该 值 的 计算 依赖 于 CMM 成 熟 度 调查 问卷 ， 


2. 开发 的 灵活 性 ” 取 值 为 “非常 高 (1) 。 开 发 过 程 没有 客户 介入 ， 所 以 几乎 不 存在 外 部 


强加 的 改变 。 
3. 体系 结构 /风险 解决 方案 取 值 为 “非常 低 ”(5)。 没 有 风险 分 析 。 
4. 团队 凝聚 力 ” 取 值 为 “一 般 ”(3) 。 是 个 新 团队 ， 没 有 相关 信息 。 
5. 过 程 成 熟 度 ” 取 值 为 “一 般 ”(3) 。 有 一 些 过 程控 制 。 


这 些 值 的 总 和 为 16。 然 后 除 以 100 计算 指数 ， 结 果 0. 16 加 上 1. 01 ， 所 以 得 到 调整 后 的 指数 


是 1.17。 


精练 总 工作 量 估计 ， 使 用 17 个 因素 的 大 集合 ， 包 括 产品 、 过 程 、 机 构 属 性 (成 本 形成 因 
素 ) ， 而 不 是 早期 设计 模型 中 使 用 的 7 个 属性 。 由 于 掌握 了 更 多 的 软件 本 身 的 信息 、 非 功能 的 需 


求 、 开 发 团队 以 及 开发 过 程 ， 就 可 以 估算 这 些 属性 的 值 了 。 


图 23-13 给 出 一 个 例子 ， 说 明 这 些 成 本 形成 因素 属性 是 如 何 影响 工作 量 估算 的 。 在 这 里 对 指 
数 所 取 的 值 为 1. 17 ， 与 上 一 个 例子 相同 。 假 设 指标 RELY、CPLX、STOR、TOOL 和 SCED 是 项 目 


中 的 关键 性 成 本 形成 因素 。 所 有 其 他 因素 取 标 称 值 1， 不 会 影响 工作 量 计算 。 






















指数 值 


H 
系统 规模 《包括 了 复 用 和 和 需求 易 变 性 因素 ) 
H 


不 计 成 本 形成 因素 的 初始 COCOMO 估计 730 人 月 
可 靠 性 非常 高 ， 乘 数 =1.39 
RAE 非常 高 ， 乘 数 =1.3 


内 存 限制 高 ， 乘 数 =1.21 
工具 使 用 低 ， 乘 数 =1. 12 
加 速 的 ， 乘 数 =1.29 
调整 的 COCOMO 估计 2306 A A 


可 靠 性 非常 低 ， 乘 数 =0.75 
复杂 度 非常 低 ， 乘 数 =0.75 
BE 















































图 23-13 ”成 本 形成 因素 对 工作 量 估算 的 影响 


工具 使 用 
进 
调整 的 COCOMO 估计 
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在 这 个 例子 中 ， 对 关键 性 的 成 本 形成 因素 分 别 赋予 了 最 大 和 最 小 值 来 说 明 它 们 对 工作 量 估 
算 带 来 的 影响 。 所 取 的 值 来 自 COCOMO 五 的 参考 手册 (Boehm，2000)。 从 图 中 可 以 看 出 ， 对 成 
本 形成 因素 取 较 高 值 时 的 工作 量 估算 是 初始 估算 的 3 倍 多 ， 而 对 这 些 成 本 形成 因素 取 低 值 时 的 工 
作 量 估算 会 降低 到 初始 估算 的 大 约 /3 ， 这 样 就 突出 表示 了 不 同类 型 项 目 之 间 的 巨大 差异 ， 以 及 
在 将 一 个 领域 的 经 验 移植 到 另 一 个 领域 时 的 巨大 困难 。 


23.5.8 项 目的 工期 和 人 员 配 备 


项 目 管理 者 除了 要 对 软件 系统 开发 所 需 成 本 及 其 工作 量 做 出 估算 以 外 ， 还 必须 估算 软件 的 
开发 周期 以 及 人 员 要 在 什么 时 间 到 位 。 机 构 不 断 地 想 缩短 开发 进度 ， 希 望 自己 的 产品 能 赶 在 竞 
争 对 手 之 前 投放 市 场 。 

COCOMO 模型 包括 一 个 对 项 目 所 需 日 历时 间 的 计算 公式 : 

TDEV =3 x (PM) (0.33 +0.2 x (B-1.01)) 

AP: TDEV 是 项 目的 理论 进度 (月 ) ， 忽 略 关 于 项 目 进 度 的 任何 乘 数 。PM 是 使 用 COCOMO 模 
型 计算 的 工作 量 。B 是 在 23. 5. 2 节 讨 论 的 复杂 度 相关 的 指数 。 如 果 B=1.17，PM -60, SEA: 
TDEV =3 x (60)°* 213 月 

然而 ， 使 用 COCOMO 模型 预测 的 理论 工程 进度 和 项 目 计 划 要 求 的 进度 不 一 定 是 一 回 事 。 可 
能 需要 比 理论 进度 显示 的 日 期 提前 或 者 延迟 (比较 少见 ) 交付 软件 。 如 果 时 间 进 度 被 压缩 ， 这 
会 增加 项 目 需要 的 工作 量 。 工 作 量 估算 中 的 SCED 乘 子 能 解决 此 问题 。 

如 上 所 述 ， 假 定 项 目 估计 TDEV 是 13 个 月 ， 但 是 实际 进度 要 求 是 11 个 月 。 这 相当 于 将 进度 
压缩 大 概 25% 。 使 用 由 Boehm 小 组 得 到 的 SCED 乘 子 的 值 ， 这 种 进度 压缩 的 工作 量 乘 子 是 1. 43, 
因此 ， 如 果 加 速 后 的 进度 能 够 实现 ， 实 际 交付 软件 需要 的 工作 量 多 于 理论 进度 要 求 的 工作 量 
的 50% , 

项 目 所 需 的 工作 人 数 、 需 要 的 工作 量 以 及 项 目的 交付 日 程 之 间 关系 非常 复杂 。 如 果 4 人 能 在 
13 个 月 内 完成 一 个 项 目 (52 人 月 的 工作 量 ) ， 也 许 你 会 想到 增加 一 个 人 ， 就 能 在 11 个 月 内 完成 
工作 (55 人 月 的 工作 量 ) 。 但 是 COCOMO 模型 显示 ， 实 际 上 需要 6 个 人 才能 在 11 个 月 内 完成 工 
作 (66 人 月 工作 量 ) 。 

这 种 情况 的 原因 是 增加 人 员 实际 上 降低 了 原 有 组 员 的 生产 率 ， 所 以 实际 增加 的 工作 量 要 少 
于 一 个 人 。 当 项 目 组 规模 增加 的 时 候 ， 组 员 花 费 更 多 的 时 间 交 流 以 及 定义 由 别人 开发 的 系统 各 
个 部 分 的 接口 。 人 员 数 量 翻 一 番 〈 打 个 比方 ) ， 项 目 工期 并 不 是 简单 地 缩减 一 半 。 如 果 开 发 团队 
规模 很 大 ， 有 些 时 候 情况 是 增加 项 目 人 员 增 加 了 开发 日 程 而 不 是 减少 了 日 程 。Myers (1989) 讨 
论 了 加 快 进度 问题 ， 并 认为 ， 如 果 软 件 开发 得 不 到 充足 的 时 间 保证 是 很 容易 出 大 问题 的 。 

这 个 COCOMO 模型 的 一 个 有 趣 现象 是 完成 项 目 所 需 的 时 间 是 项 目 所 需 的 总 工作 量 的 函数 ， 
而 它 与 项 目 中 的 软件 工程 师 人 数 无 关 。 这 也 验证 了 一 点 ， 在 落后 于 进度 的 项 目 中 增加 更 多 的 人 
员 未 必 对 重新 赶 上 进度 有 帮助 。 

单纯 用 项 目 所 需 工作 量 除 以 开发 所 需 时 间 ， 对 项 目 团队 必需 的 人 数 规划 没有 什么 帮助 。 一 
般 来 讲 ， 在 项 目 刚 开始 的 时 候 只 需要 很 少 几 个 人 ， 他 们 负责 项 目的 初始 设计 。 在 项 目 开 发 和 系统 
测试 的 时 候 ， 项 目 成 员 数 达到 最 高 峰 。 当 系统 完成 准备 部 署 的 时 候 ， 人 员 数 目 开始 下 降 。 这 就 显 
示 了 项 目 人 员 的 组 织 和 项 目 时 间 的 减少 的 关联 关系 。 因 此 ， 项 目 管理 者 在 项 目 整个 生存 期 中 都 
要 避免 过 早 把 太 多 人 员 加 到 项 目 中 来 。 

工作 量 分 布 可 以 用 Rayleigh 曲线 (Londeix, 1987) 建 模 ，Putnam 的 估算 模型 (Putnam, 
1978) 中 的 项 目 人 员 配 备 模 型 就 是 基于 该 曲线 的 。Putnam 模型 还 把 开发 时 间作 为 一 个 关键 因素 ， 
随 着 开发 时 间 的 减少 ， 系 统 开发 所 需要 的 工作 量 呈 指数 增长 。 
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要 点 

m 系统 报价 并 不 仅仅 取决 于 它 的 估计 开发 成 本 和 开发 公司 要 求 的 利润 。 机 构 因素 可 能 提高 售 
价 以 补偿 升 高 的 风险 ， 或 者 降低 售 价 以 获得 竞争 的 优势 。 

m 软件 通常 是 先 有 定价 以 得 到 合同 ， 然 后 再 据 此 调整 相应 的 功能 。 

m 计划 驱动 开发 是 围绕 一 个 详细 定义 的 项 目 计 划 进 行 组 织 的 。 项 目 计划 定义 了 项 目 活动 、 计 
划 的 工作 量 、 活 动 进 度 安排 和 每 项 活动 的 负责 人 。 

四 项目 进度 安排 需要 创建 有 关 项 目 计划 的 各 种 图 形 化 表示 。 用 来 表示 活动 期 限 和 人 员 使 用 时 
间 的 条 形 图 是 在 进度 安排 中 中 最 常 使 用 的 。 

u 项目 里 程 碑 是 一 个 项 目 活动 可 以 预期 的 结果 ， 到 达 一 个 里 程 碑 就 要 把 某 些 项 目 进 展 报告 提 
交 到 管理 层 。 在 一 个 软件 项 目 中 ， 里程碑 的 出 现 应 该 是 有 规律 的 。 可 交付 的 文档 则 是 交付 
到 客户 手中 的 里 程 碑 。 

m 极限 规划 游戏 是 让 整个 团队 成 员 都 参与 到 项 目 规划 中 来 。 计 划 做 成 增 量 式 的 ， 如 果 问 题 出 
现 ， 计 划 将 被 调整 ， 通 过 减少 软件 的 功能 性 而 不 是 延期 交付 一 个 增 量 ， 修 改 计 划 。 

m 软件 的 估算 技术 可 能 是 基于 经 验 的 ， 管 理 者 对 需要 的 工作 量 进行 判断 ; 或 者 是 使 用 算法 ， 
需要 的 工作 量 通过 使 用 其 他 的 估算 工程 中 的 参数 计算 得 到 。 

m COCOMO 开 成 本 计算 模型 是 一 个 比较 成 熟 的 成 本 估算 模型 ， 它 将 项 目 、 产 品 、 硬 件 以 及 人 
的 因素 都 考虑 在 内 。 


进一步 阅读 材料 

(Software Cost Estimation with COCOMO 了 》 这 是 关于 COCOMO 了 [模型 的 权威 书籍 ， 提 供 了 模 
型 的 完整 的 描述 ， 有 着 大 量 的 例子 ,而 且 包 括 了 实现 模型 的 软件 。 它 非常 详细 但 不 易 读 懂 
(B. Boehm, et al. , Prentive Hall, 2000) , 

(Ten unmyths of project estimation》 这 是 一 篇 谈 项 目 估算 中 实际 困难 并 挑战 这 一 领域 一 些 基 本 
假定 的 实用 文章 (P. Armour, Comm. ACM, 45 (11), November2002) 。 

(Agile Estimationg and Planning》 这 本 书 全 面 介绍 如 在 XP 中 使 用 的 基于 情景 的 规划 ， 同 样 也 
阐述 了 在 项 目 规划 中 使 用 敏捷 方法 的 基本 原理 。 它 也 包括 一 个 很 好 很 的 关于 项 目 规 划 问题 的 概 
4& (M. Cohn, Prentice Hall, 2005) 。 

(Achievements and Challenges in Cocomo-based Software Resource Estimation》 这 篇 文章 展示 了 
COCOMO 模型 的 一 个 发 展 历史 过 程 ， 及 其 在 这 些 模 型 上 产生 的 影响 。 讨 论 了 这 些 模型 的 多 种 变 
化 。 它 也 介绍 了 COCOMO 方法 未 来 可 能 的 发 展 前 景 。 (B. W. Boehm and R. Valeridi, IEEE Soft- 
ware, 25 (5), September/October 2008) , http;//dx. doi. org/10. 1109/MS. 2008. 133, 


练习 

23.1 在 什么 情况 下 公司 可 能 会 将 软件 系统 的 价格 定 得 比 成 本 估价 加 上 正常 利润 高 得 多 呢 ? 

23.2 解释 项 目 规划 过 程 为 什么 是 一 个 迭代 的 过 程 ， 为 什么 在 一 个 软件 项 目 期 间 必 须 不 断 地 对 项 目 规划 进 
行 评审 。 

23.3 简要 介绍 软件 项 目 计 划 中 每 个 部 分 的 目的 。 

23.4 无 论 使 用 什么 估算 方法 ， 成 本 估算 有 其 固有 的 风险 。 试 给 出 4 个 能 降低 成 本 估算 风险 的 方法 。 

23.5 图 23-14 列 出 了 许多 活动 、 持 续 时 间 和 各 活动 之 间 的 依赖 关系 。 请 画 出 活动 图 和 条 形 图 示意 项 目 进 
度 安 排 。 

23.6 1823-14 给 出 了 软件 项 目 活动 的 任务 持续 时 间 。 假 设 发 生 了 一 个 严重 的 、 意 想不到 的 事件 ， 使 得 任 
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务 TS 不 是 在 10 天 内 完成 ， 而 是 用 了 40 天 。 画 出 新 的 条 形 图 以 表示 如 何 重新 进行 组 织 。 

XP 规划 游戏 是 基于 规划 的 概念 去 实现 表现 系统 需求 的 情景 的 。 解 释 当 软件 有 高 性 能 和 高 可 靠 性 要 求 
时 这 个 方法 可 能 存在 的 问题 。 | 

有 一 个 软件 负责 人 负责 一 个 安全 性 要 求 极 高 的 软件 系统 的 开发 ， 该 系统 的 设计 是 为 了 控制 针对 癌症 
患者 的 放射 治疗 仪 。 这 个 系统 是 髋 入 趟 系统 ， 运 行 于 一 种 专用 处 理 器 ， 内 存 被 限定 在 256MB。 放 射 
治疗 仪 与 患者 数据 库 通 信 以 获 取 患 者 的 详细 资料 ， 并 在 治疗 完毕 后 自动 地 将 放射 剂量 和 其 他 详细 治 
疗 信息 记录 到 数据 库 中 。 

在 对 系统 开发 的 工作 量 估算 中 使 用 了 COCOMO 方法 ， 计 算 结 果 是 需要 26 人 月 。 在 估算 中 所 有 的 成 
本 形成 因素 都 被 设 为 1。 

解释 为 什么 需要 对 这 个 估算 进行 修正 ,将 项 目 、 人 员 、 产 品 和 机 构 因 素 统统 考虑 在 内 。 试 列举 出 在 
初始 COCOMO 估算 中 会 产生 重要 影响 的 4 个 因素 ， 并 对 这 些 因素 给 出 可 能 的 取 值 。 对 于 为 什么 考虑 
到 这 些 因 素 给 出 合理 的 解释 。 

一 些 非常 大 型 的 软件 项 目 都 有 数 以 百 万 行 的 程序 代码 行 。 解 释 为 什么 像 COCOMO 这 样 估算 模型 的 工 
作 量 对 非常 大 型 的 软件 系统 可 能 无 效 。 


23.10 ”公司 了 解 到 客户 需求 不 明确 ， 在 签订 合同 时 故意 提出 一 个 低 报价 ， 待 客户 将 来 提出 需求 变更 时 再 索 


要 高 价 。 你 认为 这 样 做 道德 吗 ? 

































































任 务 工期 ( 天数 ) 依赖 关系 
TI 10 
| 
T 15 | Ti 
T3 10 Tl, T2 
T 
T4 20 
T5 | 10 
| T6 15 T, 14 
T 20 T3 
Tg 35 T! 
19 15 T6 
TIO 5 T5, T9 
TH 10 T9 
T12 20 T10 
t —— 
T13 35 T, T4 
T14 | 10 T8, T9 
T15 20 T, T14 
T16 10 T15 
图 23-14 进度 安排 实例 
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目标 

本 章 旨 在 介绍 软件 质量 管理 ， 讲 述 专门 的 质量 管理 活动 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 

m 了解 质 量 管理 过 程 ， 以 及 质量 规划 重要 的 原因 

n 了 解 软 件 质量 受到 所 使 用 的 软件 开发 过 程 的 影响 ; 

uw 认识 到 质量 管理 过 程 中 质量 标准 的 重要 性 以 及 标准 是 如 何在 质量 保证 中 使 用 的 ; 

n 了 解 复 查 和 审查 是 如 何 作为 机 制 在 软件 质量 保证 中 使 用 的 ; 

m 理解 度量 如 何在 评估 某 些 质量 属性 时 发 挥 作 用 ， 以 及 目前 软件 度量 的 局 限 性 。 

软件 质量 问题 最 早 在 20 世纪 60 年 代 首次 大 型 软件 系统 开发 时 期 被 发 现 ， 并 且 在 整个 20 世 
纪 一 直 困扰 着 软件 工程 。 已 交付 的 软件 速度 很 慢 而 且 不 可 靠 ， 维 护 困 难 重重 ， 并 且 还 很 难 复 用 。 
由 于 对 这 种 状况 不 满 ， 人 们 开始 采用 软件 质量 管理 形式 化 技术 ， 这 种 技术 是 由 制造 业 中 的 方法 
发 展 而 来 的 。 这 些 质量 管理 技术 和 新 的 软件 技术 以 及 更 好 的 软件 测试 结合 在 一 起 ， 使 得 软件 质 
量 的 一 般 水 平 得 到 了 明显 提升 。 

软件 系统 的 软件 质量 管理 有 3 个 重要 的 关注 点 : 

中 在 机 构 层 面 ， 质 量 管理 与 建立 能 生产 高 质量 软件 的 机 构 过 程 框架 和 标准 相关 。 这 就 意味 
着 质量 管理 团队 应 该 对 定义 要 使 用 的 软件 开发 过 程 、 软 件 采用 的 标准 以 及 包括 系统 需求 、 设 计 
以 及 代码 的 相关 文档 负责 。 

Q 在 项 目 层面 ， 质量 管理 包括 专门 的 质量 过 程 的 应 用 、 对 所 规划 的 过 程 的 执行 情况 的 检查 ， 
及 确保 项 目的 输出 符合 此 项 目 所 适用 的 标准 。 

© 在 项 目 层面 的 质量 管理 同样 关注 于 为 项 目 确立 一 个 质量 计划 。 质 量 计划 应 该 给 出 项 目的 
质量 目标 ， 定 义 应 该 使 用 什么 样 的 过 程 和 标准 。 

制造 业 中 广泛 使 用 “质量 保证 ”和 “质量 控制 ”这 两 个 术语 。 质 量 保证 (QA) 是 对 生产 高 
质量 的 产品 的 过 程 和 标准 的 定义 ， 同 时 也 引入 质量 过 程 到 制造 过 程 。 质 量 控制 是 应 用 这 些 质量 
过 程 淘汰 没有 达到 要 求 的 质量 水 平 的 产品 。 

在 软件 产业 中 ， 不同 的 公司 和 工业 部 门 以 不 同 的 方式 解释 质量 保证 和 质量 控制 。 有 时 ， 质量 
保证 仅 代表 对 和 旨 在 保证 软件 质量 达标 的 流程 、 过 程 和 标准 的 定义 。 另 外 的 情况 下 ， 质 量 保证 也 包 
括 开 发 团队 交付 产品 后 采取 的 活动 ,包括 所 有 的 配置 管理 、 检 验 和 有 效 性 验证 活动 。 在 这 一 章 中 
使 用 的 “质量 保证 ”包括 : 检验 、 有 效 性 检验 以 及 检查 质量 流程 是 否 正确 应 用 的 过 程 。 由 于 软 
件 产 业 并 未 广泛 使 用 “质量 控制 ”这 个 术语 ， 本 书 也 将 避免 使 用 此 术语 。 

质量 保证 团队 (QA team). 在 大 多 数 公司 中 负责 管理 版 本 测试 过 程 。 正 如 第 8 章 中 所 讨论 
的 ， 这 就 意味 着 在 软件 版 本 交付 到 客户 手 里 之 前 ， 他 们 负责 软件 的 测试 。 他 们 负责 检查 系统 是 否 
满足 需求 ， 以 及 维护 测试 过 程 记录 。 第 8 章 中 已 经 涉及 版 本 测试 ， 本 章 不 再 涉及 有 关 这 方面 的 质 
量 保 证 问题 。 l 

质量 管理 对 软件 开发 过 程 提 供 独立 的 检查 活动 。 从 软件 过 程 中 产生 的 可 交付 文档 要 放 到 质 
量 管理 过 程 中 接受 检验 ， 确 保 它 们 能 够 符合 机 构 的 标准 和 目标 〈 见 图 24-1) 。 由 于 质量 保证 团队 
应 该 是 独立 于 开发 队伍 的 团队 ， 他 们 能 够 客观 地 对 待 软件 产品 。 这 样 他 们 就 能 够 不 受 软件 开发 
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问题 的 影响 ， 做 出 客观 的 软件 质量 报告 。 
软件 开发 过 程 DI D2 D D5 


"gc. 


标准 和 规程 质量 规划 质量 评审 报告 
图 24-1 质量 管理 和 软件 开发 


理论 上 说 ， 质 量 管理 团队 应 该 不 与 任何 专门 的 开发 小 组 有 关联 ， 但 是 应 对 整个 机 构 的 质量 
管理 负责 。 他 们 应 当 是 独立 的 ， 并 且 直 接 向 项 目 管理 人 员 之 上 的 管理 者 报告 。 这 是 因为 项 目 管理 
人 员 必 须 维 护 工程 预算 开支 和 进度 安排 。 如 果 出 现 问题 ， 他 们 可 能 试图 在 产品 质量 上 做 出 妥协 
来 满足 他 们 的 工程 进度 。 一 个 独立 的 质量 管理 团队 确保 机 构 的 质量 目标 不 会 因为 考虑 短期 的 开 
支 和 进度 而 有 所 妥协 。 但 是 ， 在 小 一 点 的 公司 里 ， 这 是 不 太 实际 的 。 质 量 管理 和 软件 开发 不 可 如 
免 地 被 绑 定 在 一 起 ， 相 关 的 人 员 同 时 有 着 开发 和 质量 两 方面 的 职责 。 

质量 规划 是 为 项 目 制定 一 个 质量 计划 的 过 程 。 质 量 计划 应 当 列 出 要 达到 的 软件 质量 ， 并 且 
描述 怎样 评估 这 些 质 量 。 因 此 对 于 一 个 特定 系统 ， 计 划 定 义 了 何 为 高 质量 的 软件 。 没 有 这 样 的 定 
义 ， 在 关于 哪 种 产品 属性 能 反映 出 最 重要 的 质量 特点 方面 ， 工 程 师 可 能 做 出 不 同 的 、 有 时 甚至 是 
冲突 的 假设 。 正 式 的 质量 规划 是 基于 计划 的 开发 过 程 一 个 重要 组 成 部 分 。 然 而 ， 敏 捷 方法 采用 一 
种 不 太 正式 的 方法 来 进行 质量 管理 。 

Humphrey (1989) ， 在 他 的 关于 软件 管理 的 经 典 书籍 中 ,提出 了 一 个 质量 规划 的 轮廓 结构 。 
其 中 包括 : 

1. 产品 介绍 ”说明 产品 、 产 品 的 意向 市 场 及 对 产品 性 质 的 预期 。 
- 产品 计划 包括 产品 确切 的 发 布 日 期 、 产 品 责任 以 及 产品 的 销售 和 售后 服务 计划 。 
. 过 程 描述 ”产品 的 开发 和 管理 中 应 该 采用 的 开发 和 服务 过 程 和 标准 。 
. 质量 目标 “产品 的 质量 目标 和 计划 ， 包 括 识别 和 判定 产品 的 关键 质量 属性 。 
. 风险 和 风险 管理 ”说明 影 响 产品 质量 的 主要 风险 和 这 些 风 险 的 应 对 措施 。 

质量 规划 被 作为 一 般 项 目 规划 过 程 的 一 部 分 ， 依 据 所 开发 的 系统 的 大 小 和 类 型 而 有 所 不 同 。 
但 是 ， 在 书写 质量 计划 时 ， 我 们 应 该 尽力 保证 它们 尽 可 能 简短 。 如 果 文 档 过 长 ， 人 们 就 不 会 去 阅 
读 ， 这 样 就 会 导致 设 定 质量 规划 的 初衷 失败 。 

一 些 人 认为 软件 质量 能 够 通过 检查 过 程 来 达到 。 机 构 会 有 一 个 基于 机 构 标 准 的 和 按照 相 
关 质 量 流程 的 一 个 确定 的 检查 过 程 ， 去 检查 软件 开发 团队 在 开发 中 是 否 遵 循 了 这 些 质量 标准 。 
他 们 的 观点 是 标准 应 该 包含 好 的 软件 工程 实践 ; 遵从 这 个 好 的 实践 必然 得 到 高 质量 的 产品 。 
然而 ， 实 际 上 质量 管理 的 内 容 远 比 一 些 标准 以 及 相关 的 保证 这 些 标准 得 到 执行 的 行政 制度 要 
多 得 多 。 

标准 和 过 程 固然 是 很 重要 的 ， 但 是 质量 管理 者 也 应 该 致力 于 开发 一 种 “质量 文化 ”， 让 每 个 
参与 产品 开发 的 人 都 有 强烈 的 产品 质量 意识 。 他 们 鼓励 团队 对 自己 的 工作 质量 负责 ， 鼓 励 他 们 
探求 改善 质量 的 新 方法 。 尽 管 质量 标准 和 规程 是 质量 管理 的 基础 ， 好 的 质量 管理 者 还 是 认识 到 
有 些 软件 质量 特性 不 易 量 化 〈 如 简洁 性 、 可 读 性 等 ) ， 难 以 在 标准 中 具体 体现 出 来 。 他 们 支持 在 
无 形 质量 方面 有 兴趣 的 人 并 鼓励 所 有 的 团队 成 员 的 好 的 工作 作风 。 

正式 的 质量 管理 对 于 开发 大 型 、 长 期 〈 开 发 需 几 年 时 间 ) 的 系统 的 团队 而 言 特 别 重 要 。 质 
量 文 档 是 记录 项 目 中 的 每 个 子 小 组 所 做 的 工作 的 文件 。 它 帮助 检查 以 避免 遗忘 重要 的 任务 或 团 
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队 的 一 部 分 不 会 对 其 他 团队 所 做 的 工作 做 出 错误 的 假设 。 质 量 文档 也 是 贯穿 一 个 系统 生命 周期 
的 沟通 手段 。 它 允许 对 系统 进化 负责 的 小 组 追踪 测试 以 及 开发 团队 所 做 的 工作 。 

对 较 小 的 系统 ， 质 量 管理 也 是 重要 的 , 但 可 以 采用 相对 非 正规 的 方法 。 由 于 小 的 开发 团队 可 
以 随意 的 交流 ， 所 以 不 必需 要 那么 多 的 文书 工作 。 对 于 小 系统 的 开发 ， 关 键 的 质量 问题 是 建立 质 
车 文化 并 保证 所 有 的 团队 成 员 对 软件 质量 有 一 个 有 效 的 方法 。 


24.1 软件 质量 

质量 管理 的 基本 原则 是 制造 工业 为 了 改善 制造 产品 的 质量 而 建立 的 。 作 为 质量 管理 的 一 部 
分 ,他 们 首先 定义 了 什么 是 “质量 "。 所 谓 质量 是 基于 详细 产品 描述 的 Crosby，1979) 和 公差 
概念 的 。 革 本 假设 是 ， 能 够 完整 详细 地 定义 产品 ， 并 且 能 够 确立 一 个 依照 产品 描述 检查 制造 产品 
的 流程 。 当 然 ， 产 品 不 会 完全 精确 地 满足 描述 ， 所 以 一 定 的 公差 是 可 以 允许 的 。 如 果 产 品 是 
“基本 合适 的 ， 那 么 它 就 被 认为 是 合格 的 。 

软件 质量 不 能 直接 和 制造 业 中 的 质量 相 比较 。 公 差 思想 对 于 数字 系统 来 说 是 不 适用 的 ， 由 
于 以 下 原因 ， 可 能 没 法 得 出 关于 软件 系统 是 否 满足 描述 的 客观 结论 ， 

1. 正如 第 4 章 所 讲 的 需求 工程 ， 对 于 写 出 一 个 完整 的 和 无 歧义 的 软件 描述 是 相当 困难 的 。 
软件 开发 商 和 客户 可 能 对 于 需求 有 不 同 的 并 述 ， 并 且 可 能 对 软件 是 否 符合 描述 没 法 达成 共识 。 

2， 描 述 通常 整合 了 各 类 信息 持 有 者 的 需求 。 这 些 需求 不 可 吕 免 地 存在 着 取 含 ， 很 可 能 没有 
包含 所 有 类 别 信息 持 有 者 的 需求 。 排 除 在 外 的 信息 持 有 者 可 能 认为 系统 质量 精 烽 ， 即 使 它 实现 
了 那些 达成 共识 的 需求 。 

3， 对 某 些 质量 特性 如。 可 维护 性 ) 的 度量 是 不 可 能 做 到 的 ， 所 以 它们 是 不 能 以 一 种 无 时 
义 的 方式 描述 的 。24.4 节 讨论 了 度量 的 困难 性 。 

因为 以 上 这 些 原因 ， 评 估 软 件 质 量 是 一 个 主观 的 过 程 ， 质 量 管理 团队 必须 判断 决定 软件 是 
否 达 到 可 接受 的 质量 水 平 。 质 量 管理 团队 必须 考虑 软件 是 否 达到 既定 的 目标 。 这 涉及 回答 关于 
系统 特性 的 若干 问题 。 例 如 ; 

1 开发 过 程 是 否 遵循 编程 和 文档 化 标准 ? 

.软件 是 否 得 到 了 正确 的 测试 ? 
.软件 是 否 足够 可 靠 能 被 投入 使 用 ? 
.软件 性 能 是 否 对 于 正常 使 用 是 合格 的 ? 
.软件 是 否 可 用 ? 

.软件 是 否 结构 良好 并 且 易于 理解 ? 

软件 质量 管理 存在 一 个 通用 的 假设 :按照 需求 测试 系统 。 应 该 根据 这 些 测试 的 结果 判断 是 
否 实现 了 要 求 的 功能 。 因 此 ， 质 量 保证 (QA) 团队 应 该 复查 所 设计 的 测试 并 检查 测试 记录 以 核 
实测 试 是 否 被 正确 地 执行 。 在 一 些 机 构 中 ， 软 件 管理 团队 负责 系统 测试 。 但 是 有 时 ，__- 个 独立 的 
系统 测试 小 组 负责 测试 。 

一 个 软件 系统 的 主观 质量 很 大 部 分 依赖 于 它 的 非 功能 性 特性 。 这 反映 了 实际 的 用 户 休 
验 一 如 果 软 件 的 功能 不 是 所 期 望 的 那样 ， 那么 用 户 就 会 变通 ， 寻 找 其 他 方式 来 做 他 们 想 做 的 事情 。 
但 是 如 果 软 件 不 可 靠 或 者 是 速度 太 慢 ， 那 么 实际 上 就 不 
能 达到 他 们 的 目的 。 | men ms ues 
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实现 ， 也 取决 于 非 功 能 的 系统 属性 。Boehm 等 人 (1978) 适应 力 模块 化 效率 | 
指出 有 15 种 重要 的 软件 质量 属性 ， 如 图 24-2 所 示 。 这 些 mert | 复杂 度 | 学 习 能 力 | 
属性 和 软件 可 靠 性 、 可 用 性 、 有 效 性 以 及 可 维护 性 相关 。 图 24-2 软件 质量 属性 
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如 第 11 章 中 所 讲述 的 ， 可 靠 性 属性 通常 是 最 重要 的 系统 质量 属性 。 但 是 软件 性 能 也 很 重要 。 如 
果 软 件 太 慢 ， 用 户 会 拒绝 使 用 。 

对 于 任何 系统 ， 优 化 所 有 属性 是 不 太 可 能 的 ， 例 如 ， 提 升 鲁 棒 性 可 能 导致 性 能 的 降低 。 因 此 
质量 规划 应 该 定义 被 开发 软件 最 重要 的 质量 属性 。 可 能 有 效 性 很 关键 ,可 能 需要 牺牲 掉 其 他 属 
性 。 如 果 已 经 在 质量 规划 中 声明 了 这 一 点 ， 从 事 开 发 工作 的 工程 师 会 协力 来 达到 这 一 目标 。 计 划 
同样 应 该 包括 定义 质量 评估 过 程 。 这 应 该 是 各 方 都 认可 的 评估 ， 判 断 是 否 在 产品 中 存在 一 些 质 
量 属性 ， 如 可 维护 性 和 重 棒 性 。 

质量 管理 的 一 个 基本 假定 是 开发 过 程 的 质量 直接 影响 产品 的 质量 。 这 个 假定 源 于 生产 制造 
系统 中 产品 质量 与 生产 过 程 的 密切 关系 。 制 造 过 程 包括 配置 、 工 装 夹具 准备 和 操作 相应 的 机 器 。 
一 且 机 器 工作 正常 ， 产 品质 量 自然 就 有 保证 。 评 估 产 品质 量 并 改变 生产 过 程 直 到 达到 需要 的 质 
量 水 平 。 图 24-3 表现 了 这 个 基于 过 程 得 到 产品 质量 的 方法 。 





图 24-3 ”基于 过 程 的 质量 


在 生产 制造 中 过 程 与 产品 质量 有 着 明确 的 关联 ， 因 为 过 程 相对 易于 标准 化 和 上 监控。 一旦 生 
产 系 统 校 准 后 就 能 一 次 次 生产 出 高 质量 的 产品 。 而 软件 不 是 生产 制造 出 来 的 而 是 设计 出 来 的 。 
因此 ， 软 件 开发 过 程 中 过 程 质量 和 产品 质量 之 间 的 关系 更 加 复杂 。 软 件 开发 是 创造 性 活动 而 不 
是 一 个 机 械 过 程 ， 个 人 的 技能 和 经 验 的 影响 非常 大 。 无 论 所 使 用 的 过 程 怎样 ， 一 些 外 部 因素 
(如 ， 应 用 程序 的 创新 性 或 早期 产品 发 布 的 商业 压力 ) 也 会 影响 产品 质量 。 

毫 无 疑问 ， 使 用 的 开发 过 程 对 于 软件 质量 有 明显 的 影响 。 好 的 过 程 更 有 可 能 得 到 好 质量 的 
软件 。 过 程 质量 的 管理 和 改进 能 够 减少 软件 开发 过 程 中 产生 的 缺陷 。 但 是 ， 评 估 软 件 质量 的 属性 
非常 困难 ， 比 如 ， 不 经 过 长 时 间 使 用 软件 ， 很 难 评估 可 维护 性 。 因 此 ， 很 难 指出 过 程 特性 如 何 影 
响 这 些 属性 。 此 外 ， 因 为 设计 和 创造 性 在 软件 过 程 中 所 起 的 作用 ， 过 程 标准 化 有 时 会 扼杀 创造 
力 ， 这 会 导致 软件 质量 更 糟 而 不 是 更 好 。 


24.2 软件 标准 


软件 标准 在 软件 质量 管理 中 扮演 着 重要 的 角色 。 正 如 前 文 所 述 ， 质 量 保证 一 个 重要 部 分 是 
定义 和 选择 应 用 于 软件 开发 过 程 和 软件 产品 的 标准 。 作 为 质量 保证 过 程 的 一 部 分 ， 也 要 选择 支 
持 标 准 使 用 的 工具 和 方法 。 一 旦 选 定 使 用 标准 ， 必 须 定义 项 目 特定 的 过 程 以 监控 标准 的 使 用 和 
执行 情况 。 

软件 标准 非常 重要 ， 有 3 个 原因 : 

1 标准 是 智慧 的 结晶 ， 对 一 个 机 构 有 重要 意义 。 软 件 标准 封装 了 对 于 机 构 来 说 最 成 功 的 或 
是 最 恰当 的 软件 开发 实践 。 这 些 知 识 往往 是 经 过 反复 实验 和 无 数 的 挫折 后 才 得 出 的 。 把 这 些 知 
PEST AT DRAIN I OUR, 

2. 标准 为 定义 特定 环境 中 的 “质量 ”含义 提供 了 一 个 框架 。 如 前 文 所 述 ， 软 件 质量 是 主观 
的 ， 通 过 使 用 标准 ， 为 判断 软件 是 否 达 到 要 求 的 质量 水 平 建立 基础 。 当 然 ， 这 依赖 于 反映 用 户 对 
软件 可 靠 性 、 可 用 性 以 及 性 能 的 期 望 的 环境 标准 。 
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3， 软 件 标准 还 有 助 于 工作 的 连贯 性 ， 由 一 个 人 着 手 进行 的 工作 别人 可 以 接着 做 。 软 件 标准 
确保 一 个 机 构 中 所 有 的 工程 人 员 采 用 相同 的 做 法 。 这 样 一 来 ， 开 始 一 项 新 工作 时 就 节省 了 学 习 
时 间 。 






© 文档 化 标准 
项 目 文档 是 一 种 看 得 见 摸 得 着 的 描述 软件 系统 以 及 生产 过 程 的 不 同形 态 的 方式 (需求 、 
UML、 代 码 等 )。 文 档 化 标准 定义 不 同类 型 文档 的 组 成 以 及 文档 的 格式 。 这 是 很 重要 的 ， 因 为 
这 样 可 以 很 容易 发 现 是 否 有 重要 的 内 容 被 遗漏 ， 并 确保 项 目 文 档 有 一 个 普遍 接受 的 外 观 。 标 
准 会 针对 书写 文档 的 过 程 、 文 档 本 身 内 容 以 及 文档 交换 诸多 方面 分 别 制 定 。 

http://www. SoftwareEngineering-9. com/Web/ QualityMan/ docstandards. html 







在 软件 质量 管理 中 ， 现 存 两 类 可 用 于 定义 和 使 用 的 相关 软件 工程 标准 : 

L 产品 标准 ”这些 标准 用 于 开发 的 软件 产品 。 包 括 文档 标准 ， 如 生成 的 需求 文档 的 结构 ; 
文档 编写 标准 ， 如 定义 对 象 类 时 注释 标题 的 标准 写法 ; 还 有 编码 标准 ， 它 规定 如 何 使 用 某 种 程序 
语言 。 

2. 过 程 标准 ”这些 标 准 定义 了 软件 开发 必须 遵循 的 过 程 。 应 将 良好 的 开发 方法 封装 其 中 。 
过 程 标准 包括 对 描述 、 设 计 和 有 效 性 验证 过 程 、 过 程 支持 工具 以 及 对 在 这 些 过程 中 产生 的 文档 
的 描述 的 定义 。 

标准 必须 以 提升 的 产品 质量 的 形式 表现 价值 。 有 的 标准 需要 花费 大 量 时 间 和 劳动 ， 但 是 只 
是 带 来 了 细微 的 质量 改进 ， 这 种 标准 是 没有 必要 定义 的 。 必 须 设 计 产品 标准 ， 然 后 可 以 应 用 和 以 
有 效 的 方式 检查 标准 ， 过 程 标准 应 该 包含 用 于 检查 是 否 遵循 产品 标准 的 过 程 定义 。 

国际 软件 工程 标准 的 发 展 通常 是 一 个 持续 很 久 的 过 程 ， 那 些 对 标准 感 兴趣 的 人 聚集 在 一 起 ， 
然后 起 草 评论 ， 最 终 对 标准 达成 一 致 。 一 些 国家 和 国际 组 织 ， 如 美国 DOD ANSI, BSL, NATO 和 
IEEE ， 都 支持 标准 的 制定 工作 。 这 些 制 定 出 来 的 标准 具有 普遍 性 ， 能 够 适用 于 许多 领域 内 的 项 
目 。 像 NATO 和 其 他 的 国防 机 构 就 需要 在 他 们 和 软件 公司 的 软件 开发 合同 中 应 用 自己 使 用 的 执行 
标准 。 

已 经 制定 的 国家 标准 和 国际 标准 涵盖 了 软件 工程 术语 、 编 程 语言 (如 Java 和 C+ + ) 、 符 号 
系统 〈 如 制图 符号 ) 、 软 件 需求 的 导出 和 书写 规程 、 质 量 保证 规程 以 及 软件 检验 和 有 效 性 验证 过 
程 (IEEE, 2003) 等 许多 方面 。 更 多 的 专属 标准 ， 比 如 说 IEC 61508 (IEC, 1998) ， 是 为 了 安全 
性 和 信息 安全 性 要 求 极 高 的 系统 而 开发 的 。 

质量 管理 团队 在 制定 机 构 标准 时 ， 一 般 要 参照 国家 标准 和 国际 标准 。 以 这 些 标准 作为 出 发 
点 ， 质 量 保证 团队 应 该 拟定 一 本 标准 “手册 ”， 定 义 适 合 自己 机 构 的 标准 。 这 种 手册 可 能 要 包含 
的 标准 种 类 列 于 图 24-4 中 。 

软件 工程 人 员 有 时 会 把 软件 标准 视 为 一 种 行政 傅 [C eas TERE 
令 ， 是 与 软件 开发 的 技术 活动 毫 不 相干 的 ， 尤 其 是 在 anra 

需求 文档 结构 | 为 系统 构建 提交 新 代码 
| 方法 头 格式 D 版 本 发 布 过 程 | 
Java 编程 风格 | 项 目 计 划 批 准 过 程 




















标准 中 要 求 填写 烦琐 的 表格 和 工作 记录 的 时 候 。 尽 管 

他 们 大 都 承认 贯彻 实施 通用 标准 是 十 分 必要 的 ， 但 工 

程 师 们 总 能 找 出 一 些 理由 ， 力 图 说 明 某 些 标准 并 不 适 

合 他 们 的 具体 项 目 。 为 了 尽量 减少 不 满意 情绪 ， 因 此 ”| 项目 计划 格式 | 变更 控制 过 程 

设 定 这 些 标准 的 质量 管理 人 员 要 采取 以 下 步 又 ， 
l. 让 软件 工程 人 员 参 与 产品 标准 的 选择 如 果 开 图 24-4 ”产品 和 过 程 标准 
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发 者 了 解 了 所 选择 的 标准 的 原因 ， 就 会 自觉 执行 这 些 标 准 。 最 理想 的 情况 ， 标 准 文档 不 应 只 是 列 
出 需要 执行 的 标准 ， 还 应 该 包括 评论 性 的 解释 ,说 明 为 什么 得 出 这 样 的 标准 化 的 决议 。 

2. 定期 评审 和 修改 标准 ， 以 反映 技术 的 变化 ”开发 标准 代价 不 菲 ， 标 准 一 经 制定 出 来 就 要 
载 人 公司 的 标准 手册 。 由 于 成 本 和 所 需要 的 讨论 ， 通 常 不 会 轻易 对 标准 进行 改动 。 标 准 手册 是 必 
备 的 ， 但 是 它 要 随 着 环境 和 技术 的 变化 而 不 断 完 善 。 

3. 尽 可 能 提供 支持 软件 标准 的 软件 工具 ”保持 标准 的 一 致 性 包括 乏味 的 手工 工作 ， 而 这 些 
工作 是 可 以 由 软件 工具 完成 的 ， 开 发 人 员 经常 党 得 标准 是 大 麻烦 。 如 果 有 工具 支持 ， 遵 循 软件 开 
发 标准 就 只 需要 很 少 的 成 本 。 例 如 文档 标准 可 以 通过 使 用 文字 处 理 器 样式 实现 

不 同类 型 软件 需要 不 同 的 开发 过 程 ， 所 以 必须 采用 适当 标准 。 如 果 某 种 工作 方式 不 适合 一 
个 项 目 或 项 目 团 队 ， 对 它 做 出 规定 是 没有 意义 的 。 因 此 每 个 项 目 管理 者 都 应 该 有 根据 个 别 情况 
改动 标准 的 权力 。 然 而 ， 当 做 出 变更 时 ， 保 证 这 些 变更 不 会 影响 产品 质量 是 很 重要 的 。 这 会 影响 
一 个 机 构 和 它 的 顾客 之 间 的 关系 ， 并 且 很 可 能 导致 项 目 成 本 的 上 升 。 

项 目 管理 者 和 质量 管理 者 可 以 通过 切实 可 行 的 质量 规划 避免 标准 的 不 适当 问题 。 他 们 应 该 
确定 质量 手册 中 哪些 标准 应 该 不 折 不 扣 地 执行 ， 哪 些 标 准 应 该 修改 ， 哪 些 标准 应 该 废止 。 对 于 某 
些 用 户 和 特定 的 项 目 需 求 可 以 制定 相应 的 标准 。 例 如 ， 如 果 以 前 的 项 目 中 没有 用 到 形式 化 描述 
的 标准 ， 就 需要 制定 这 些 标准 。 


ISO 9001 标准 框架 


ISO 9000 是 一 个 用 于 在 所 有 行业 建立 质量 管理 系统 的 国际 标准 集 。ISO 9000 可 应 用 的 范围 很 
广 ， 从 制造 业 到 服务 业 都 有 涉及 。ISO 9001 在 这 些 标 准 中 是 最 具 普 遍 性 的 标准 ， 它 适用 于 设计 、 
开发 和 产品 维护 等 机 构 内 的 质量 过 程 ， 包 括 软 件 。ISO 9001 标准 最 初 开发 于 1987 年 ， 它 的 最 新 
版 本 是 2008 年 发 布 的 。 

ISO 9001 标准 自身 并 不 是 软件 开发 的 一 个 标准 ， 而 是 开发 软件 标准 的 一 个 框架 。 它 制定 出 一 
般 的 质量 原则 ， 描 述 一 般 的 质量 过 程 ， 并 且 编 排 应 该 定义 的 组 织 标准 和 步 怠 。 这 些 应 当 记 录 在 机 
构 质 量 手册 中 。 

ISO 9001 标准 在 2000 年 进行 了 一 次 重大 的 修订 ， 形 成 了 9 个 核心 过 程 ， 如 图 24- 所 示 。 为 
了 服从 ISO 9001 标准 ， 公 司 必须 记录 它们 的 过 程 是 如 产品 交付 过 程 支持 过 程 
何 与 这 9 个 核心 过 程 相对 应 的 。 也 必须 定义 和 维护 有 业务 获得 业务 管理 
关 记 录 证 明 所 定义 的 机 构 过 程 已 经 得 到 了 严格 执行 。 
公司 的 质量 手册 应 该 描述 相关 的 过 程 以 及 过 程 数据 ， 设计 和 开发 
这 些 数据 必须 收集 并 得 到 维护 。 

ISO 9001 标准 并 没有 定义 或 规定 公司 中 应 该 使 用 测试 库存 管理 
的 特定 的 质量 过 程 。 要 与 该 标准 一 致 ， 公 司 必 须 定 义 
过 程 的 类 型 ， 如 图 24-5， 并 有 相应 的 流程 证 明 它 的 质 生产 和 交 丰 
量 过 程 是 得 到 严格 遵守 的 。 这 就 带 来 了 不 同 产 业 部 门 
和 公司 规模 之 间 的 灵活 性 。 这 就 能 够 定义 适合 所 开发 服务 和 支持 
的 软件 类 型 的 质量 标准 。 小 型 公司 能 够 拥有 灵活 的 但 
同时 仍然 是 服从 ISO 9001 标准 的 过 程 。 但 是 ， 这 种 灵 Æ 24-5 ISO 9001 核心 过 程 
活性 意味 着 我 们 不 能 对 于 遵循 ISO 9001 标准 的 不 同 公 
司 过 程 之 间 相 似 性 和 差异 性 作出 假定 。 一 些 公司 可 能 拥有 很 严格 的 质量 过 程 来 保留 详细 的 记录 ， 
然而 其 他 一 些 公司 可 能 不 那么 正式 ， 只 有 极 少 量 的 附加 文档 。 

ISO 9001, ， 机 构 的 质量 手册 和 个 体 的 项 目 质量 计划 之 间 的 关系 如 图 24-6 所 示 。 这 个 图 源 于 


供应 商 管理 d 


配置 管理 
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由 Ice 提出 的 一 个 模型 (1994) ， 他 解释 了 通用 的 ISO 9001 标准 如 何 作为 一 个 软件 质量 管理 过 程 
的 基础 来 使 用 。Bamford 和 Dielbler (2003) 解释 了 了 后 来 的 ISO 9001: 2000 标准 如 何在 软件 公司 中 . 


被 采用 。 
ISO 9001 
质量 模型 E 


实例 化 为 


机 构 质量 手册 [p 


项 目 2 质 量 计划 B 






机 构 质 量 过 程 






实例 化 为 


项 目 质量 管理 ) 









项 目 3 质 量 计 划 


项 目 1 质量 计划 








支持 
图 24-6 ISO 9001 和 质量 管理 


一 些 软件 客户 要 求 他 们 的 供应 商 是 具有 ISO 9001 认证 。 软 件 开发 公司 拥有 质量 管理 系统 的 
认证 ， 客 户 才 会 有 信心 。 拥 有 独立 鉴定 资格 的 机 构 对 质量 管理 过 程 和 过 程 文档 进行 检查 ， 判 断 这 
些 过 程 是 否 符合 ISO 9001 标准 所 有 内 容 。 如 果 的 确 如 此 ， 就 像 质 量 手册 里 定义 的 一 样 ， 他 们 认 
证 这 家 公司 的 质量 过 程 符合 ISO 9001 标准 。 

有 些 人 认为 ISO 9001 证 书 意味 着 经 过 认证 的 公司 所 生产 的 软件 质量 比 未 经 认证 公司 要 好 ， 
这 不 一 定 。IS0 9001 标准 只 是 关心 机 构 里 拥有 质量 管理 过 程 ， 并 且 遵循 这 些 过 程 。 并 没有 保证 说 
ISO 9001 认证 的 公司 使 用 最 好 的 软件 开发 实践 ， 或 是 这 些 过 程 会 产生 高 质量 的 软件 。 

比如 ， 某 家 公司 所 定义 的 测试 覆盖 标准 规定 、 对 象 中 所 有 方法 必须 使 用 至 少 一 次 。 不 幸 的 
是 ， 这 个 标准 会 在 不 完全 的 软件 测试 中 使 用 ， 对 使 用 不 同方 法 的 参数 并 没有 进行 测试 。 只 要 遵循 
了 定义 的 测试 流程 ， 并 且 记 录 了 执行 的 测试 过 程 ， 这 个 公司 就 是 满足 ISO 9001 认证 的 。ISO 9001 
认证 所 定义 的 质量 是 符合 标准 ， 并 不 是 软件 用 户 所 能 体验 的 质量 。 

敏捷 方法 中 避免 使 用 文档 ， 它 只 关注 于 开发 的 代码 ， 与 ISO 9001 中 所 讨论 的 形式 化 的 质量 
过 程 差别 其 大 。 在 使 这 两 种 方法 趋 为 一 致 的 方面 ， 已 经 有 一 些 人 做 过 一 些 工 作 (Stalhane 和 Han- 
ssen, 2008), ， 但 是 敏捷 开发 群体 本 质 上 是 完全 反对 这 种 他 们 视 为 官僚 作风 的 标准 化 。 由 于 这 样 
的 原因 ， 使 用 敏捷 开发 方法 的 公司 很 少 关心 ISO 9001 标准 认证 。 


24.8 ”复查 与 审查 


复查 (review) SZ (inspection) 是 检查 项 目 可 交付 文档 的 质量 的 QA 活动 。 检 查 的 内 容 
涉及 : 检查 软件 ， 软 件 文档 ， 以 及 发 现 错误 和 遗漏 的 过 程 的 记录 ， 并 且 检 查 是 否 遵 循 质量 标准 。 
第 8 章 和 第 15 章 提 到 ， 复查、 审查 和 程序 测试 作为 软件 检验 和 有 效 性 验证 通用 过 程 的 部分。 

在 复查 过 程 中 ， 一 个 团队 检查 软件 与 其 相关 文档 ， 和 寻找 潜在 问题 和 与 标准 不 一 致 的 部 分 。 复 
查 团队 提供 资料 来 判断 系统 的 质量 级 别 和 项 目的 可 交付 物 。 然 后 项 目 管理 人 员 使 用 这 些 评定 来 
做 出 规划 决策 并 为 开发 过 程 分 配 资源 。 

质量 复查 基于 在 软件 开发 中 产生 的 文档 来 进行 。 软 件 描述 、 设 计 、 代 码 、 过 程 模型 、 测 试 计 
划 、 配 置 管理 规程 、 过 程 标准 以 及 用 户 指南 也 都 被 复查 。 复 查 应 当 检查 文档 和 代码 的 一 致 性 和 完 
整 性 ， 确 保 遵循 质量 标准 。 
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然而 ， 复 查 不 仅仅 是 检查 与 标准 的 一 致 性 ， 还 被 用 来 帮助 发 现 软 件 和 项 目 文档 中 的 问题 和 
遗漏 。 复 查 的 结果 应 当 作为 质量 管理 过 程 的 一 部 分 被 正式 记录 。 如 果 发 现 了 问题 ， 应 将 复查 人 员 


” 的 意见 交 给 开发 者 或 者 负责 修改 所 发 现 问题 的 人 员 。 


复查 和 审查 的 目的 是 提升 软件 的 质量 ， 不 是 评估 开发 团队 中 员工 的 表现 。 相 对 于 较为 私下 
进行 的 组 件 测试 过 程 ， 复 查 是 一 个 检测 错误 的 公开 过 程 。 不 可 避免 的 是 ， 个 人 犯 的 错误 会 暴露 在 
整个 编程 团队 面前 。 要 确保 所 有 开发 人 员 对 复查 过 程 起 到 有 建设 性 的 作用 ,项 目 管理 人 员 必 须 
对 个 人 的 关注 保持 敏感 。 他 们 必须 营造 一 种 工作 文化 ， 发 现 错误 时 不 责备 当事人 。 

尽管 质量 复查 为 管理 提供 关于 软件 开发 的 信息 ， 但 是 质量 复查 不 同 于 管理 过 程 复查 。 第 23 
章 中 提 到 ， 过 程 复查 将 软件 工程 的 实际 过 程 与 计划 的 过 程 对 比 。 他 们 主要 的 关注 点 是 工程 是 否 
能 够 按时 并 在 预算 范围 内 发 布 有 用 的 软件 。 过 程 复查 将 外 部 因素 考虑 在 内 ， 环 境 变化 可 能 导致 
不 再 需要 开发 的 软件 或 是 必须 作出 彻底 改动 。 由 于 业务 或 它 的 操作 环境 发 生 了 改变 ， 导 致 已 开 
发 出 高 质量 软件 的 工程 不 得 不 被 撤销 。 


24.3.1 复查 过 程 
尽管 在 复查 的 细节 上 有 很 多 不 同 ， 但 是 复查 过 程 〈 见 图 24-7) 一 般 分 为 3 个 阶段 : 





pag 


复查 后 活动 


复查 前 活动 














图 24-7 软件 复查 过 程 


1. 复查 前 活动 ”这 些 准 备 工作 对 于 复查 的 有 效 进行 是 必须 的 。 具 有 代表 性 的 是 ， 这 些 复 查 
前 工作 关心 复查 的 计划 和 复查 的 准备 工作 。 复 查 计划 包括 建立 一 个 复查 团队 ， 安 排 复查 的 时 间 
地 点 ， 分 发 要 被 复查 的 文档 。 在 复查 准备 工作 中 ， 复 查 团队 见 到 要 复查 的 软件 的 一 个 综述 。 个 别 
的 复查 团队 成 员 需要 阅读 并 理解 软件 、 文 档 以 及 相关 的 标准 。 他 们 独立 地 工作 ， 依 靠 标准 找 出 错 
误 、 遗 泪 和 违背 的 地 方 。 复 查 人 员 如 果 不 能 参加 复查 会 议 ， 他 们 可 以 提供 书面 的 软件 意见 。 

2. 复查 会 议 在 复查 会 议 期 间 ， 被 复查 文档 或 程序 的 作者 应 该 和 复查 团队 一 起 把 文档 从 头 
到 尾 浏 览 一 遍 。 复 查 本 身 时 间 应 该 是 相对 短 的 ， 至 多 两 个 小 时 。 一 个 团队 成 员 应 该 作为 复查 的 主 
席 ， 还 应 该 有 一 个 成 员 正式 地 记录 所 有 复查 决议 和 要 采取 的 行动 。 在 复查 期 间 ， 主 席 负责 保证 所 


.有 的 书面 意见 都 被 考虑 在 内 。 复 查 主席 应 该 在 复查 期 间 写 下 一 个 达成 共识 的 意见 和 行动 的 记录 。 


3. 复查 后 活动 ”在 复查 会 议 结束 后 ， 必 须 解决 在 复查 期 间 提出 的 问题 。 这 可 能 包括 修复 软 
件 漏洞 ， 重 构 软 件 以 使 它 与 质量 标准 相 一 致 ， 或 是 重 写 文档 。 有 时 ， 在 质量 复查 中 发 现 的 问题 要 
求 管理 复查 也 必须 决定 是 否 加 和 人 更 多 资源 来 改正 它们 。 在 做 出 改动 之 后 ， 复 查 主席 会 检查 所 有 
被 考虑 的 复查 意见 。 有 时 ， 要 求 采取 进一步 的 复查 来 检查 覆盖 了 所 有 之 前 的 复查 意见 而 做 出 的 
改动 。 

复查 团队 应 该 挑选 3 ~4 名 主要 复查 员 作为 团队 的 核心 ， 应 该 有 一 个 资深 设计 人 员 负 责 做 出 
技术 上 的 重大 决策 。 主 要 复查 员 可 以 邀请 其 他 的 项 目 成 员 帮 助 复查 ， 他 们 不 必 参 与 整个 文档 的 
复查 ， 而 应 集中 精力 解决 影响 他 们 工作 的 问题 。 另 外 ， 复 查 团 队 可 以 把 要 复查 的 文档 进行 传阅 ， 
并 要 求 其 他 的 项 目 成 员 写 出 书面 意见 。 项 目 管理 人 员 不 需要 包括 到 复查 中 ， 除 非 预 见 的 问题 要 
求 改变 项 目 计划 。 
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， 上 述 的 复查 过 程 需 要 开发 团队 中 所 有 成 员 都 位 于 同一 地 点 ， 并 且 可 以 参加 了 团队 会 议 。 但 是 ， 
现在 工程 团队 通常 是 分 散 的 ， 有 时 候 分 布 在 几 个 不 同 国家 甚至 大 洲 ， 所 以 团队 成 员 聚 到 一 个 屋 
子 里 开会 通常 是 不 实际 的 。 在 这 种 情形 下 ， 可 以 使 用 文档 编辑 工具 支持 复查 过 程 。 团 队 成 员 使 用 
这 些 来 评论 文档 和 软件 源 代码 。 这 些 评论 对 于 其 他 团队 成 员 是 可 见 的 ， 他 们 可 以 赞成 或 者 反对 。 

只 有 在 复查 人 员 之 间 的 分 层 解 决 之 后 , . 才 会 使 用 电话 讨论 。 

敏捷 软件 开发 中 的 复查 过 程 通常 是 非 正式 的 。 例 如 ， 在 Scrum 中 ， 在 每 次 的 软件 迭代 完成 后 
都 会 有 一 个 复查 会 议 ( 冲刺 复查 )， 其 中 会 讨论 到 质量 问题 。 在 极限 编程 中 (下 一 节 中 讨论 )， 
配对 编程 确保 另 一 个 团队 成 员 经 常 检查 和 复查 代码 。 日 常 的 团队 会 议 中 会 考虑 到 通常 的 质量 问 
题 ， 但 是 极限 编程 依赖 于 个 人 主动 性 来 提升 和 重 构 人 代码。 通常 敏捷 方法 不 是 标准 驱动 的 ， 所 以 通 
常 不 考虑 标准 一 致 性 问题 。 

在 敏捷 方法 中 缺少 正式 的 质量 过 程 ， 这 意味 着 已 经 开发 详细 的 质量 管理 过 程 的 公司 使 用 负 
捷 方 法 可 能 存在 问题 。 质 量 复查 可 能 减 慢 软 件 开发 步伐 ,但 在 计划 驱动 的 开发 过 程 中 质量 复查 
能 得 到 最 好 的 使 用 。 在 计划 驱动 的 过 程 中 ， 规划 复 查 ， 并 与 其 他 调度 工作 平行 进行 。 在 敏捷 方法 
中 因 专 注 于 代码 开发 ， 所 以 这 样 做 是 不 现实 的 。 






Qyuassnas 


35 IBM 首次 建立 程序 审查 的 时 候 (Fagan, 1976; Fagan, 1986), ， 对 审查 小 组 的 成 员 有 多 个 
正式 的 角色 分 工 。 这 些 角色 包括 : 协调 员 ， 代 码 阅读 者 ， 抄 写 员 。 审 查 过 程 的 其 他 用 户 修 改 
了 这 些 角色 ， 但 是 通常 都 接受 审查 中 要 有 : 代码 作者 ， 一 个 督察 员 ， 一 个 抄写 员 ， 由 协调 员 
来 主持 。 






http://www. SoftwareEngineering-9. com/Web/QualityMan/roles. html 


24.3.2 程序 审查 


程序 审查 是 “同行 评审 ”， 团 队 成 员 合 作 来 发 现 开发 程序 中 的 漏洞 。 第 8 章 中 谈 到 ， 审 查 可 
以 作为 软件 检验 和 有 效 性 验证 过 程 的 一 部 分 。 因 为 它们 不 要 求 执 行程 序 ， 所 以 它们 和 测试 互补 。 
这 就 表示 能 够 验证 系统 不 完整 的 版 本 ， 并 且 能 够 检查 像 统 一 建 模 语言 (UML) 模型 这 样 的 表示 
iE. Gilb 和 Graham (1993) 提出 了 一 种 使 用 审查 最 有 效 的 方法 ， 那 就 是 复查 系统 测试 用 例 。 审 
查 能 够 发 现 测试 的 问题 ， 并且 提升 这 些 测试 检测 程序 错误 的 有 效 性 。 

程序 审查 涉及 来 自 不 同 背 景 的 团队 成 员 ， 他 们 对 程序 源 代码 进行 精心 的 、 一 行 一 行 的 复查 。 
他 们 寻找 错误 和 问题 ， 并 且 在 审查 会 议 中 描述 出 来 。 错 误 可 能 是 逻辑 错误 ， 也 可 能 是 代码 中 的 异 
常 ， 这 些 异 常 可 能 表明 了 错误 情况 或 者 代码 忽略 的 特征 。 复 查 团队 详细 检查 设计 模型 和 程序 代 
B, 并且 标 记 出 需 修 正 的 异常 和 问题 。 

审查 时 ， 经 常 使 用 一 份 常见 编程 错误 的 检查 表 。 这 份 检查 表 基 于 的 是 来 自 书本 的 实例 和 个 
别 应 用 领域 的 错误 经 验 。 我 们 对 于 不 同 的 编程 语言 使 用 不 同 的 检查 表 ， 因 为 每 种 语言 有 它 自 己 
特有 的 错误 。Humphrey (1989) 在 对 审查 的 详细 讨论 中 ， 给 出 了 多 个 检查 表 的 例子 。 

在 审查 过 程 中 可 能 做 出 的 检查 如 图 24-8 所 示 。Cilb 和 Graham (1993) 强调 每 个 机 构 都 应 当 
根据 部 门 标准 和 实践 开发 自己 的 检查 表 。 由 于 不 断 发 现 新 的 错误 类 型 ， 这 些 检 查 表 应 经 常 更 新 。 
因为 编译 期 间 会 有 不 同 的 检查 级 别 ， 检 查 表 的 条 目 根据 编程 语言 不 同 而 有 区 别 。 例 如 ，Java 编译 
器 检查 函数 的 参数 个 数 是 否 正确 ， 但 是 C 编译 器 却 不 检查 。 

大 多 引信 审查 的 公司 发 现 它们 在 发 现 漏洞 方面 是 非常 有 效 的 。Fagan (1986) 报告 了 使 用 非 
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形式 化 的 程序 审查 可 以 检测 到 60% 以 上 的 程序 错误 。Mills 等 人 (1987). 提出 了 一 个 更 加 形式 化 
的 检查 方法 ,根据 正确 性 论证 ， 能 够 检测 出 90% 以 上 的 程序 错误 。MeConnell (2004) 对 比 了 单 
元 测试 ， 其 错误 探测 率 大 约 为 25% 。 通 过 审查 ， 错 误 探测 率 达 到 了 60% 。 他 同样 描述 了 许多 案 
例 研究 ， 包 括 引 入 “同行 评审 ”的 例子 ， 它 会 使 生产 率 提 升 14% ， 同 时 程序 错误 降低 90% 。 

尽管 他 们 大 量 宣传 其 成 本 有 效 性 ， 很 多 软件 开发 公司 还 是 不 情愿 使 用 审查 或 者 同行 评审 。 
有 程序 测试 经 验 的 软件 工程 师 有 时 会 不 情愿 接受 关于 审查 会 比 测试 在 发 现 错误 方面 更 加 有 效 的 
观点 。 管 理 人 员 也 可 能 产生 怀疑 ， 因 为 在 设计 和 开发 过 程 中 审查 工作 要 求 额外 的 开销 。 他 们 不 希 
望 冒 风险 ， 即 在 程序 测试 中 没有 节省 相应 的 成 本 。 


缺陷 分 类 | 检查 内 容 | 


所 有 的 程序 变量 都 在 使 用 前 被 初始 化 了 吗 ? 
所 有 的 常数 都 命名 了 吗 ? 数组 的 上 边界 应 该 等 于 数组 长 度 还 是 长 度 减 1? 如 果 使 用 字符 串 ， 
定 界 符 应 该 显 式 的 指定 吗 ? 有 缓冲 区 溢出 的 可 能 性 吗 ? 


对 每 一 个 条 件 语句 ， 条 件 是 正确 的 吗 ? 
每 一 个 循环 都 能 终止 吗 ? 
合 语句 被 正确 地 扩 起 来 了 吗 ? 
对 case 语句 ， 所 有 可 能 的 情况 都 考虑 到 了 蚂 ? 若 每 一 个 case 语句 都 需要 跟 一 个 break 语句 ， 
有 遗漏 吗 ? 
输入 /输出 缺陷 所 有 的 输入 变量 都 使 用 了 吗 ? 所 有 的 输出 变量 在 输出 前 都 被 赋值 了 吗 ? 有 未 料 到 的 输入 引起 
RFR? 
接口 缺陷 所 有 的 函数 和 方法 调用 都 使 用 了 正确 数量 的 参数 吗 ? 形 参 和 实 参 类 型 匹配 吗 ? 参数 顺序 都 对 
吗 ?如果 组 件 访问 共享 内 存 ， 它 们 都 有 相同 的 共享 内 存 结构 模型 吗 ? 




































AE RE LR 如 果 一 个 链接 的 结构 被 修改 了 ， 所 有 的 链接 都 得 到 重新 赋值 了 吗 ? 如 果 使 用 了 动态 存储 ， 空 
间 分 配 正 确 吗 ? 如 果 空间 不 再 使 用 ， 需 要 显 式 地 对 空间 释放 吗 ? 
异常 管理 缺陷 所 有 可 能 的 错误 状态 都 已 经 考虑 到 了 吗 ? 











图 24-8 审查 过 程 中 的 检查 表 


敏捷 过 程 很 少 使 用 形式 化 的 审查 和 同行 评审 过 程 。 但 是 ， 他 们 依赖 于 团队 成 员 合作 来 检查 
每 一 个 其 他 成 员 的 代码 ， 也 信奉 非 正式 的 实用 准则 ， 比 如 说 “提交 前 检查 " ， 这 表明 程序 员 应 该 
检查 他 们 自己 的 代码 。 极 限 编程 从 业者 认为 配对 编程 是 一 种 有 效 的 检查 方法 ， 这 实际 上 是 一 个 
连续 的 检查 过 程 。 两 个 人 查看 代码 的 每 一 行 ， 并 且 在 它 被 接受 之 前 检查 它 。 

配对 编程 会 使 人 员 对 程序 有 一 个 深入 的 了 解 ， 因 为 两 个 程序 员 必 须 理 解 它 的 工作 细节 才能 
继续 开发 。 这 种 了 解 的 深度 有 时 很 难 在 其 他 检查 过 程 中 达到 ， 因 此 配对 编程 能 都 找 出 正式 检查 
过 程 有 时 都 不 能 发 现 的 漏洞 。 但 是 ， 配 对 编程 也 能 够 导致 彼此 之 间 的 对 于 需求 的 误解 ， 两 个 成 员 
犯 了 同样 的 错误 。 此 外 ， 因 为 两 人 不 想 减缓 工程 的 进度 ， 两 个 人 可 能 不 情愿 查找 错误 。 相 关 人 员 
不 能 跟 外 部 检查 团队 那样 客观 ， 他 们 发 现 错误 的 能 力 很 可 能 因为 亲密 的 工作 关系 减弱 。 


24.4 软件 度量 和 量度 


软件 度量 (measurement). 就 是 对 软件 组 件 、 系 统 或 过 程 的 某 种 属性 进行 量化 。 在 得 到 的 数 
据 之 间 以 及 数据 和 机 梅 的 通用 标准 之 间 进 行 比较 ， 就 可 以 得 出 有 关 软 件 质量 或 评估 软件 过 程 有 
效 性 、 工 具 和 方法 有 效 性 的 结论 。 

举 个 例子 ， 假 设 一 个 机 构 计划 引入 新 的 软件 测试 工具 ， 在 引入 这 个 工具 之 前 ， 记 录 下 在 一 定 
时 间 内 发 现 的 软件 缺陷 数目 。 这 是 评估 工具 有 效 性 的 基础 。 使 用 工具 一 段 时 间 后 ， 重 复 这 个 过 
程 。 如 果 引 入 该 工具 后 在 相同 的 时 间 内 发 现 的 缺陷 数目 增多 ， 就 可 以 认为 这 种 工具 能 给 软件 有 
效 性 验证 过 程 提供 有 益 的 支持 。 
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软件 度量 的 长 期 目标 是 利用 度量 代替 复查 来 对 软件 质量 进行 评判 。 使 用 一 系列 量度 对 软件 
进行 度量 能 非常 理想 地 评估 一 个 系统 ， 通 过 度量 可 以 推断 出 系统 的 质量 水 平 。 如 果 一 个 软件 达 
到 了 所 需 的 质量 阔 值 ， 那 么 它 就 可 以 不 通过 复查 而 被 接受 。 适 当 的 情况 下 ， 度 量 工具 还 可 以 突出 
显示 出 软件 需要 改进 的 部 分 。 然 而 ， 现 实 距离 理想 情况 还 相距 甚 远 。 想 要 达到 自动 质量 评估 的 理 
想 状 况 在 可 预见 的 将 来 还 不 太 可 能 。 

软件 量度 (metric) 是 能 够 被 客观 度量 的 软件 系统 、 系 统 文档 或 开发 过 程 有 关 的 特性 。 量 度 
的 例子 包括 : 以 代码 行 数 表示 的 软件 产品 规模 ; 雾 (Fog) 指数 (Gunning，1962) ， 它 是 一 段 文 
本 段落 的 可 读 性 的 一 种 指标 ; 交付 的 软件 产品 中 所 报告 的 缺陷 数 ; 开发 一 个 系统 组 件 所 需 的 
人 -日 数 等 。 

软件 量度 要 么 是 控制 量度 要 么 是 预言 者 度量 。 正 如 其 名 ， 控 制 量度 支持 过 程 管理 而 预言 者 
量度 帮助 预测 软件 的 特性 。 控 制 量度 通常 与 软件 过 程 相 关 。 修 复发 现 的 缺陷 所 需 平均 工作 量 和 
时 间 是 控制 量度 或 过 程 量度 的 例子 。 预 言 者 量度 又 叫 产品 量度 ， 与 软件 本 身 相 关 ， 预 言 者 量度 的 
ATA: 模块 的 回路 复杂 性 (第 8 章 已 讨论 过 ) ， 程 序 中 标识 符 的 平均 长 度 ， 在 设计 中 与 对 象 有 
关 的 属性 和 操作 的 数量 。 

无 论 控制 量度 还 是 预言 者 量度 ， 都 能 影响 管理 决策 
的 制定 ， 如 图 24-9 所 示 。 管 理 者 使 用 过 程度 量 来 决定 是 
否 做 出 过 程 改变 ， 使 用 预言 者 量度 来 估计 软件 变更 所 需 
的 成 本 。 本 章 侧重 于 讨论 预言 者 量度 ， 通 过 分 析 软 件 系 
统 的 代码 评估 它 的 价值 。 第 26 章 讨 论 控 制 量度 及 其 在 过 
程 改 进 中 的 使 用 。 

软件 产品 度量 可 能 用 到 两 种 方法 : 

1. 给 系统 质量 属性 赋值 通过 度量 系统 组 件 的 特 图 249 预言 者 度量 和 控制 度量 
性 ， 比 如 回路 复杂 性 ， 并 将 这 些 度量 综合 起 来 ， 就 能 评估 系统 质量 属性 ， 比 如 可 维护 性 。 

2. 找 出 质量 低 于 标准 的 系统 组 件 ”度量 能 识别 那些 特性 背离 某 些 规范 的 个 别 组 件 。 例 如 ， 
可 以 度量 组 件 以 发 现 那些 有 着 最 高 复杂 性 的 问题 组 件 。 由 于 复杂 度 高 难于 理解 ， 这 些 组 件 更 可 
能 包含 错误 。 

不 幸 的 是 ， 就 像 图 24-2 所 示 ， 直 接 测 试 软件 的 质量 属性 是 非常 困难 的 。 像 可 维护 性 、 易 懂 
性 和 可 用 性 等 质量 属性 是 外 部 属性 ， 与 开发 者 和 用 户 如 何 使 用 软件 有 关 。 它 们 受到 主观 因素 的 
影响 ， 比 如 用 户 的 经 验 和 知识 使 他 们 无 法 客观 地 度量 软件 。 为 了 对 这 些 因素 做 出 判断 ， 开 发 者 不 
得 不 度量 软件 的 某 些 内 在 属性 (如 软件 的 规模 、 复 杂 性 等 ) 并 假定 在 所 能 度量 的 属性 和 想 要 了 
解 的 质量 之 间 存 在 着 一 定 的 关系 。 

图 24-10 给 出 了 某 些 可 能 是 我 们 关心 的 外 部 软件 质量 属性 和 与 其 有 关 一 些 内 在 属性 。 该 图 说 
明了 在 外 部 和 内 部 属性 之 间 会 存在 某 些 关系 的 , 但 没有 说 明 这 些 属性 是 如 何 关联 的 。 内 在 属性 
的 度量 能 否 对 外 部 的 软件 特性 做 出 有 益 的 预测 ， 取 决 于 以 下 3 个 条 件 (Kitchenham, 1990) ; 

1， 内 在 属性 必须 被 精确 度量 。 这 个 往往 并 不 是 很 简单 的 ， 它 可 能 需要 使 用 特殊 工具 来 度量 。 

2. 在 能 够 度量 的 属性 和 我 们 感 兴趣 的 外 部 质量 属性 之 间 必 须 有 一 定 关系 。 也 就 是 说 ， 在 蘑 
种 程度 上 质量 属性 的 值 必须 和 可 度量 属性 的 值 相关 联 。 

3. 内 部 属性 和 外 部 属性 的 关系 必须 是 可 理解 的 、 可 验证 的 、 能 用 公式 或 模型 表达 出 来 。 模 
型 的 公式 化 表示 需要 识别 模型 的 函数 形式 〈 线 性 的 、 指 数 的 等 ) ， 这 是 通过 分 析 收 集 到 的 数据 ， 
找 出 模型 中 要 包含 的 参数 ， 并 用 现 有 数据 校正 这 些 参 数 来 完成 的 。 

软件 的 内 在 属性 ， 比 如 组 件 的 环 路 复杂 度 ， 使 用 分 析 软 件 源 代码 的 软件 工具 来 度量 。 有 开源 
工具 可 以 使 用 来 完成 这 些 度量 。 虽 然 直 觉 上 软件 组 件 的 复杂 度 和 在 应 用 中 可 观察 到 的 错误 数 之 
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间 有 一 定 的 联系 ， 但 是 客观 地 用 事实 证 明 这 些 还 是 有 一 定 的 困难 的 。 为 了 验证 这 种 假设 ， 开 发 者 
需要 分 析 大 量 的 组 件 失 败 数据 和 组 件 源 代码 。 只 有 极 少 的 公司 对 收集 他 们 软件 的 数据 做 出 长 期 
的 承诺 ,: 因此 用 来 分 析 的 失败 数据 是 很 难 获 取 的 。 


外 部 质量 属性 内 部 属性 





图 24-10 软件 的 内 在 和 外 在 关系 


20 世纪 90 年 代 ,， 许 多 大 型 公司 ， 像 Hewlett-Packard (Grady, 1993), AT&T (Barnard 和 
Price, 1994) 和 Nokia (Kilpi, 2001) 都 引入 了 量度 程序 。 他 们 对 产品 和 过 程 进行 度量 ， 并 在 质 
量 管理 过 程 中 使 用 这 些 度量 。 绝 大 多 数 工作 焦点 是 有 关 程 序 缺陷 、 检 验 和 有 效 性 验证 过 程 的 量 
度 的 收集 上 。Ofen 和 Jeffrey (1997) Hall 和 Fenton (1997) 讨论 了 把 量度 程序 引入 到 工业 中 的 
细节 问题 。 

目前 几乎 没有 公共 可 用 的 关于 工业 上 系统 地 使 用 软件 度量 的 信息 。 许 多 公司 的 确 收集 了 软 
件 信 息 ， 例 如 需求 变更 数 或 在 测试 中 发 现 的 缺陷 数 。 然 而 ， 还 不 清楚 是 否 它们 接 下 来 系统 地 使 用 
了 这 些 度量 去 比较 软件 产品 和 过 程 或 是 评估 变更 对 软件 过 程 和 工具 的 影响 。 系 统 地 度量 比较 困 
难 的 原因 如 下 : 

1. 引入 一 个 机 构 量 度 程序 的 投资 回报 是 无 法 量化 计算 的 。 在 过 去 的 几 年 里 ， 软 件 的 质量 已 
经 取得 了 极 大 的 改善 ， 这 是 在 并 没有 使 用 量度 的 情况 下 取得 的 ， 因 此 很 难 判 断 引 人 系统 的 软件 
度量 和 评估 的 初始 开销 。 

2. 现在 还 没有 软件 度量 的 标准 ， 或 是 没有 标准 化 的 度量 和 分 析 过 程 。 在 这 些 标 准 和 支持 工 
具 出 现 之 前 ,大 多 数 公司 不 愿意 引入 度量 。 

3. 在 许多 公司 ， 软 件 过 程 是 非 标准 化 的 ， 没 有 很 好 定义 也 是 很 难 控 制 的 。 在 某 种 意义 上 讲 ， 
在 同一 家 公司 内 部 以 有 效 方式 使 用 度量 还 存在 很 多 过 程 变数 。 

4 许多 关于 软件 度量 和 量度 的 研究 主要 侧重 于 基于 代码 的 量度 和 计划 驱动 开发 过 程 。 然 而 ， 
越 来 越 多 的 软件 的 开发 是 通过 配置 ERP 系统 、COTS 系统 或 通过 使 用 敏捷 方法 。 因 此 ， 开 发 者 们 
并 不 知道 先前 的 研究 是 否 适用 于 这 些 软件 开发 技术 。 

5， 引 入 度量 增加 了 额外 的 开销 。 这 和 敏捷 方法 的 目标 相 了 矛盾 ， 敏 捷 方法 推崇 消除 那些 和 程 
序 开发 没有 直接 关联 的 过 程 活动 。 因 此 已 经 采取 的 敏捷 方法 编程 的 公司 并 不 倾向 于 采用 度量 
程序 。 

软件 度量 和 量度 是 经 验 软件 工程 的 基础 (Endres 和 Rombach, 2003), 。 这 是 一 个 新 的 研究 领 
域 ， 它 通过 对 软件 工程 的 实验 和 对 真实 项 目的 数据 的 收集 来 建立 和 验证 关于 软件 工程 方法 和 技 
术 的 假设 。 致 力 于 这 个 领域 的 研究 者 们 认为 ， 只 有 当 我 们 能 够 提供 具体 的 证 据 来 证 明 某 些 软件 
工程 方法 和 技术 真正 如 它们 的 提出 者 所 声称 的 那样 带 来 效益 ,我 们 才能 相信 此 软件 工程 的 方法 
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和 技术 。 

不 幸 的 是 ， 即 使 能 够 做 出 客观 的 度量 并 能 从 中 得 出 结论 ， 这 些 结论 也 未 必 令 决策 者 们 信服 。 
与 之 相反 ， 决 策 往 往 受到 某 些 主观 因素 的 影响 ， 比 如 创新 性 ， 或 是 专业 人 员 对 该 技术 的 感 兴趣 程 
度 。 因 此 ， 经 验 的 软件 工程 结果 要 想 对 软件 工程 实践 产生 深远 的 影响 仍 需 时 日 。 


24.4.1 产品 量度 


产品 量度 是 用 来 度量 一 个 软件 系统 内 在 属性 的 预言 者 度量 。 产 品 量度 的 例子 包括 : 系统 大 
小 ， 代 码 行 数 ， 每 个 对 象 类 的 方法 数 等 。 不 幸 的 是 ， 容 易 度 量 的 软件 特性 如 规模 大 小 和 环 路 复杂 
性 ， 与 如 易 懂 性 、 可 维护 性 等 质量 属性 之 间 没 有 一 个 清晰 而 又 一 致 的 关系 。 这 种 关系 是 随 着 开发 
过 程 、 技 术 以 及 被 开发 系统 类 型 的 不 同 而 不 同 的 。 

ipo M 

. 动态 量度 ， 通过 对 执行 中 的 程序 度量 所 收集 到 的 。 在 系统 测试 期 间或 系统 投入 使 用 后 可 
DEIRI AEREN. DINE BHEE O REREN SEEREN, 

2. 静态 量度 ， 通 过 对 系统 各 种 表现 形式 〈 如 设计 、 程 序 或 文档 等 ) 度量 所 收集 到 的 。 静 态 
量度 的 例子 有 : 代码 多 少 和 已 使 用 标识 符 的 平均 长 度 。 

这 些 量度 类 型 与 不 同 的 质量 属性 有 关 。 动 态 量度 用 于 评估 一 个 程序 的 效率 和 可 靠 性 ， 而 静 
态 量度 则 用 于 评估 一 个 软件 系统 或 系统 组 件 的 复杂 性 、 易 懂 性 和 可 维护 性 。 

动态 量度 与 软件 质量 属性 的 关系 通常 较为 密切 。 度 量 特定 函数 的 执行 时 间 和 评估 系统 的 启 
动 时 间 相对 比较 容易 ， 它 们 与 系统 的 效率 有 直接 的 关系 。 同 样 ， 系 统 失 败 数 和 失败 的 类 型 要 记录 
下 来 ， 它 们 直接 关系 到 软件 的 可 靠 性 ， 如 第 15 章 讨 论 的 。 

正如 图 24-11 所 示 ， 静 态 量 度 与 质量 属性 的 关系 是 间接 的 。 人 们 已 提出 很 多 这 类 量度 ， 并 进 
行 试验 ,试图 导出 和 验证 这 些 量度 与 系统 的 复杂 性 、 易 懂 性 以 及 可 维护 性 之 间 的 关系 。 其 中 的 程 
序 长 度 和 控制 复杂 性 能 对 易 懂 性 、 系 统 复杂 性 和 可 维护 性 做 出 最 可 靠 的 预测 。 





扇 人 是 对 调用 其 他 函数 或 方法 的 函数 数 或 方法 数 (假设 用 X 表示 ) 的 度量 。 扇 出 是 被 X 

BB WARR. — 4e A ARR X 与 其 他 的 设计 紧密 结合 ， 对 X 的 修改 将 产生 广泛 
的 影响 。 一 个 高 的 扇 出 值 意味 着 X 的 整体 复杂 度 可 能 很 高 ， 因 为 协调 被 调用 组 件 所 需 的 控 
制 逻辑 的 复杂 度 





代码 长 度 这 是 对 程序 大 小 的 度量 。 通 常 一 个 组 件 的 代码 越 多 ,就 越 复杂 并 容易 出 错 。 代 码 长 度 是 
预测 组 件 中 易 出 错 程度 的 最 可 靠 的 量度 之 一 


环 路 复杂 度 这 是 对 程序 控制 复杂 度 的 估量 。 这 个 榨 制 复杂 度 可 能 与 程序 的 易 懂 性 有 关 。 第 8 章 介 绍 
` 了 怎样 计算 环 路 复杂 度 


-g 这 是 对 程序 中 标识 符 的 平均 长 度 的 估量 。 标 识 符 越 长 含义 可 能 就 越 明 确 ， 程 序 也 就 越 可 
标识 符 长 度 理解 


RARER KEEFE if ZRTEBCEEIR REB MERE, RAH if SRS HE LA EES] RA th 
Fog 指数 这 是 对 文档 中 字 和 句子 平均 长 度 的 估量 。Fog 指数 的 值 越 高 ， 文 档 就 越 难 以 理解 


图 24-11 静态 软件 产品 量度 


在 图 24-11 中 的 量度 是 通用 的 ， 也 提出 了 专门 面向 对 象 的 量度 。 图 24-12 概括 了 Chidamber 
和 Kemerer 套件 (有 时 称 为 CK 套件 ) 的 6 个 面向 对 象 的 量度 (1994) 。 虽 然 在 20 世纪 90 年 代 提 
出 来 了 ,但 它们 仍然 是 使 用 最 为 广泛 的 面向 对 象 量 度 。 当 创建 UML 图 时 ， 一 些 UML 的 设计 工具 
自动 收集 这 些 量度 值 。 

El-Amam (2001) 在 对 面向 对 象 量度 的 一 个 非常 好 的 评论 中 ,讨论 了 CK 量度 和 其 他 一 些 面 
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向 对 象 的 量度 ， 并 得 出 结论 ， 我 们 还 没有 足够 的 证 据 来 弄 清楚 面向 对 象 量度 是 如 何 与 外 部 软件 
质量 关联 的 。 直 到 2001 年 他 分 析 之 后 ， 情 况 才 真 正 改 变 。 开 发 者 们 仍然 不 知道 如 何 使 用 面向 对 
象 度量 去 得 出 有 关 软 件 质量 的 可 靠 结论 。 


面向 对 象 量度 dh 述 


这 是 每 个 类 中 的 方法 数 ， 是 一 个 对 每 个 方法 根据 复杂 度 进行 加 权 后 所 计算 得 到 的 。 
每 个 类 的 加 权 后 的 方法 因此 ， 一 个 简单 方法 的 复杂 度 为 1， 一 个 大 而 复杂 方法 的 值 将 大 得 多 。 这 个 度量 值 越 

! " K, XERORSSUSELAR. BROKE SRO RE. TIE SR ESRDHRGR S, 
Ej f] fe — ERA FOR BE AS Hi YE AE FT 


这 代表 在 继承 树 中 的 具体 层 数 。 子 类 继承 超 类 的 属性 和 操作 (方法 ) 。 继 承 树 越 深 ， 























继承 树 的 深度 (DIT) 设计 就 越 复 条。 很 多 对 象 类 必须 理解 后 ， 才 能 型 清 楚 树 中 叶子 书 点 的 对 象 类 含义 
这 是 度量 类 的 直接 子 类 数 。 它 度量 类 层次 结构 的 宽度 ， 而 DIT 代表 它 的 深度 。NOC 
BH (NOC) 高 意味 着 更 多 的 复 用 。 它 可 能 意味 着 更 多 的 工作 量 需要 用 于 验证 基 类 ， 因 为 依赖 于 它 
的 子 类 数 大 





| 当 一 个 类 中 的 方法 使 用 在 另 一 个 类 中 定 文 的 方法 或 实例 时 ， 关 间 就 是 三 合 的 ，CBO 
HARME (CBO) 。 | 意味 着 类 是 高 度 依赖 的 ， 因 此 在 一 个 类 的 改变 会 影响 程序 中 的 其 他 类 


对 类 的 响应 (RFC) REC 是 当 类 的 对 象 接收 到 消息 时 潜在 可 能 的 对 此 做 出 响应 的 方法 数 的 度量 。BRFC 是 
| 与 复杂 度 相关 的 。 RFC 越 高 ， 说 明 类 的 复杂 度 越 高 ， 因 而 它 就 更 容易 产生 错误 


LCOM 是 通过 计算 类 中 各 对 方法 而 得 的 。LCOM 是 两 个 数 的 差 , 一 个 数 是 方法 间 没 
方法 中 缺乏 内 聚 力 (LCOM) | 有 共享 属性 的 方法 对 数 ， 另 一 个 数 是 方法 间 共 享 属性 的 方法 对 数 。 该 量度 值 受 到 广泛 
争议 ， 有 很 多 变种 。 不 清楚 是 否 它 真 的 在 其 他 量度 所 提供 的 信息 上 提供 了 更 多 的 信息 


























图 24-12 CK 面向 对 象 的 量度 套件 


24.4.2 软件 组 件 分 析 


作为 质量 控制 过 程 的 一 部 分 ， 软件 度 量 过 程 如 图 24-13 所 示 。 对 系统 的 每 一 个 组 件 都 使 用 一 
系列 量度 单独 分 析 ， 对 不 同 组 件 比 较 得 出 的 不 同 量度 值 ， 有 时 还 要 与 以 前 的 项 目 中 收集 的 历史 
度量 数据 进行 比较 。 对 异常 的 度量 〈 严 重 偏离 正常 值 ) ， 可 能 表示 这 些 组 件 的 质量 存在 问题 。 





图 24-13 产品 度量 过 程 


这 个 组 件 度量 过 程 中 的 几 个 关键 阶段 是 : 

1. 选择 要 做 的 度量 ”度量 要 回答 的 问题 应 该 准确 阐述 ， 所 需 的 度量 需要 良好 定义 。 不 必 收 
集 与 这 些 问 题 不 直接 相关 的 度量 。 第 26 章 要 讨论 的 Basin 的 GOM (目标 -问题 -量度 ) 范 型 
(Basin 和 Romhach, ，1988) ， 是 在 决定 要 收集 什么 数据 时 的 一 种 好 方法 。 

2. 选择 要 评估 的 组 件 在 软件 系统 中 评估 所 有 组 件 的 量度 值 距 没 有 必要 ， 也 没有 意义 。 在 
有 些 情况 下 ， 要 选择 有 代表 性 的 组 件 进行 度量 。 而 在 其 他 情况 下 ， 则 要 评估 一 些 特别 关键 的 组 
件 ， 例 如 几乎 被 连续 使 用 的 核心 组 件 。 

3 度量 组 件 特性 ”度量 选 出 的 组 件 并 计算 相应 的 量度 值 。 这 一 过 程 中 通常 使 用 一 个 自动 化 
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的 数据 收集 工具 对 组 件 的 表现 形式 《设计 、 代 码 等 ) 进行 处 理 。 这 种 工具 可 以 是 专门 写 的 ， 也 
可 能 是 机 构 所 使 用 的 CASE 工具 的 某 个 特征 。 

4. 识别 异常 度量 ”组件 度量 一 旦 完成 ， 就 应 该 把 它们 彼此 进行 比较 ， 还 要 把 它们 与 已 经 记 
录 到 度量 数据 库 中 的 以 前 的 度量 相 比 较 。 找 出 每 一 度量 中 异常 高 或 者 异常 低 的 值 ， 从 中 可 以 推 
测 表现 出 这 些 数值 的 组 件 可 能 存在 问题 。 

5. 分析 异常 组 件 ”从 特定 的 量度 中 一 旦 识别 出 具有 异常 值 的 组 件 ， 就 应 该 检查 这 些 组件 ， 
从 而 确定 这 些 异 常量 度 值 是 否 意味 着 该 组 件 的 质量 出 现 了 问题 。 复 杂 性 的 异常 量度 值 并 不 必然 
意味 着 组 件 的 质量 差 。 特 别 高 的 数值 可 能 男 有 原因 ， 它 可 能 不 意味 着 组 件 的 质量 出 了 问题 。 

应 该 将 收集 的 数据 作为 机 构 的 资源 保留 ， 即 使 在 特定 的 项 目 中 并 没有 使 用 这 些 数据 ， 也 应 
保留 所 有 项 目的 历史 记录 。 一 旦 一 个 非常 大 的 度量 数据 亩 建立 起 来 ， 就 可 以 进行 跨 项 目的 软件 
质量 比较 ,并 确认 内 部 组 件 属性 与 质量 特性 的 关系 。 


24.4.3 度量 歧义 


在 收集 有 关 软 件 和 软件 过 程 的 量化 数据 时 ， 你 必须 分 析 这 些 数据 以 了 解 它们 的 真正 含义 。 
曲解 了 这 些 数 据 就 很 容易 得 出 错误 的 结论 。 不 能 仅仅 只 了 解数 据 的 本 身 ， 还 必须 同时 考虑 收集 
数据 的 上 下 文 环境 。 

为 了 说 明 对 收集 到 的 数据 可 能 存在 的 不 同方 式 的 解释 ， 考 虑 下 面 的 情景 ， 这 个 情景 和 某 系 
统 的 用 户 提交 的 变更 请 求 数 有 关 。 

管理 者 决定 监控 客户 提交 的 变更 请 求 数 。 基 于 这 祥 一 种 假定 ， 即 客户 提交 的 变更 请 求 与 产 
品 的 可 用 性 和 适应 性 有 一 定 关 系 ， 变 更 请 求 数 越 大 ， 软 件 就 越 不 能 满足 客户 的 需要 。 

处 理 变更 请 求 和 变更 软件 的 费用 很 高 ， 因 此 机 构 决 定 更 改 软件 过 程 以 提高 客户 的 满意 度 ， 
同时 降低 变更 的 成 本 。 他 们 希望 过 程 变更 会 使 产品 更 好 ， 使 变更 请 求 减少 。 | 

启动 过 程 变更 ， 让 软件 设计 过 程 中 有 更 多 的 客户 参与 。 引 入 对 所 有 产品 Beta 测试 ， 把 客户 
请 求 的 修改 反映 到 交付 的 产品 中 去 。 由 这 个 修改 了 的 过 程 所 生产 的 新 版 本 就 交付 给 客户 了 。 在 
有 些 情况 下 ， 变 更 请 求 数 减少 ; 而 在 有 些 情况 下 ， 反 而 增加 。 这 使 管理 者 很 困惑 ， 不 能 评估 过 程 
变更 对 产品 质量 的 影响 。 

为 了 了 解 为 什么 会 发 生 这 种 事情 ， 必 须 了 解 为 什么 会 提出 变更 请 求 ; 

L 软件 不 能 做 客户 想 让 它 做 的 事情 ， 因 此 客户 通过 请 求 变 更 来 传达 他 们 所 要 求 的 功能 。 

2. 软件 非常 好 ， 可 以 被 普遍 而 又 频繁 地 使 用 。 有 许多 软件 客户 创造 性 地 想 出 软件 可 以 完成 
一 些 新 的 功能 ， 因 而 也 可 能 产生 变更 请 求 。 

因此 ， 如 果 客户 更 多 地 参与 软件 开发 过 程 也 许 会 减少 客户 不 满意 地 方 ， 从 而 减少 变更 请 求 。 
因为 过 程 变 更 比较 有 效 ， 软 件 的 可 用 性 和 适应 性 更 好 。 然 而 ， 过 程 变 更 可 能 会 不 起 作用 ， 客 户 可 
能 已 经 决定 寻找 另 一 个 可 供 选 择 的 系统 。 产 品 因 出 现 了 竞争 对 手 而 失去 了 市 场 占有 率 ， 也 会 使 
得 变更 请 求 数 减少 。 这 样 该 产品 的 用 户 也 就 减少 了 。 

另 一 方面 ， 过 程 变更 可 能 使 许多 新 的 客户 更 愿意 参与 产品 的 开发 过 程 。 因 此 他 们 会 有 更 多 
的 变更 要 求 。 处 理 变更 请 求 的 过 程 变更 可 能 会 加 速 这 种 变更 的 增长 。 如 果 公 司 对 客户 更 负责 ， 他 
们 应 该 产生 更 多 的 变更 要 求 ， 因 为 他 们 知道 应 该 认真 对 待 这些 要 求 。 这 些 公司 相信 他 们 的 建议 
极 有 可 能 会 加 入 到 之 后 的 软件 版 本 中 。 或 者 ， 因 为 Beta 测试 地 点 选择 不 当 ， 没 有 典型 地 反映 出 
程序 的 最 大 多 数 使 用 情况 而 使 变更 请 求 数 增加 。 

要 分 析 变 更 请 求 数据 ， 我 们 不 能 只 知道 变更 请 求 的 数量 。 我 们 需要 知道 是 谁 提 出 变更 请 求 ， 
他 们 如 何 使 用 该 软件 ， 以 及 为 什么 会 提出 该 请 求 。 我 们 还 要 知道 一 些 外 部 因素 ， 如 更 改变 更 请 求 
的 程序 、 市 场 变化 等 ， 是 否 会 对 变更 请 求 产 生 影响 。 有 了 上 述 信息 ， 就 有 可 能 揭示 出 过 程 变更 是 
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否 对 提高 产品 质量 有 意义 了 。 

以 上 的 论述 说 明 ， 理 解 变更 影响 是 困难 的 ， 解决 这 个 问题 的 科学 方法 是 减少 那些 会 影响 度 
量 的 因素 。 然 而 ， 要 度量 的 过 程 和 产品 不 能 孤立 于 它们 的 环境 而 存在 ， 商 业 环境 是 不 断 变化 的 ， 
而 环境 的 变化 可 能 使 数据 的 对 照 失去 意义 。 有 关 人 类 活动 的 量化 的 数据 不 能 总 是 看 它 的 表面 值 。 
度量 值 改变 的 原因 往往 是 模糊 的 。 应 该 把 度量 值 之 所 以 能 够 说 明 产 品质 量 属性 的 深层 次 原因 调 
查 清 楚 。 


要 点 ay 


2 软件 质量 管理 就 是 确保 软件 有 较 少 的 缺陷 数 ， 并 达到 可 维护 性 、 可 靠 性 、 可 移植 性 等 既定 
标准 。 质 量 管理 活动 包括 为 过 程 和 产品 制定 标准 ， 并 为 检测 是 否 符合 这 些 标准 而 建立 
过 程 。 

wu 软件 标准 对 质量 保证 来 说 非常 重要 ， 因 为 这 些 标准 是 对 “成 功 实践 ”的 认同 。 开 发 软件 
时 ， 标 准 为 开发 一 个 优秀 质量 的 软件 提供 了 坚实 的 基础 。 

机 构 的 质量 手册 应 该 编制 一 套 质量 保证 规程 ， 可 以 根据 ISO 9001 标准 中 的 通用 模型 进行 
编制 。 

m 对 软件 过 程 产 生 的 可 交付 物 进行 复查 需要 有 检查 质量 标准 执行 情况 的 团队 人 员 参 加 。 复 查 
是 质量 评估 的 一 种 最 为 广泛 采用 的 方法 。 

在 程序 审查 或 同行 评审 中 ， 一 个 小 团队 系统 地 检查 代码 。 他 们 仔细 地 读 这 些 代码 并 寻找 可 
能 出 错 和 易 被 遗漏 的 地 方 。 然 后 在 代码 审查 会 议 中 讨论 这 些 问题 。 

a 软件 度量 可 以 用 于 收集 有 关 软 件 和 软件 过 程 的 量化 数据 。 所 收集 的 软件 量度 值 可 以 用 于 推 
论 产品 和 过 程 的 质量 。 

u 产品 质量 量度 对 于 暴露 存在 质量 问题 的 异常 组 件 具 有 特别 重要 的 意义 。 应 该 对 这 些 组 件 做 
更 深入 的 分 析 。 


进一步 阅读 材料 

(Metrics and Models for Software Quality Engineering, 2" ed》 这 是 对 包括 过 程 和 产品 ， 以 及 面 
向 对 象 量度 的 软件 度量 的 非常 全 面 的 讨论 。 也 包括 一 些 基 于 软件 评估 的 需要 用 以 建立 和 理解 模 
型 的 数学 背景 知识 (S. H. Kan, 2003, Addison-Wesley) 。 

(Software Quality Assurance; From Theory to Implimentation) 这 本 书 是 一 本 优秀 的 、 关 注 于 软 
件 质量 保证 理论 与 实践 。 包 括 对 如 ISO 9001 之 类 标准 的 讨论 (D. Galin, 2004, Addison-Wesley) 。 

《A Practical Approach for Quality-Driven Inspections》 许多 关于 审查 的 文章 都 相当 陈旧， 并 未 
考虑 现代 软件 开发 实践 。 这 篇 相对 较 新 的 文章 描述 了 一 个 审查 方法 ， 说 明了 一 些 使 用 审查 的 问 
题 以 及 如 何在 现代 开发 环境 下 使 用 审查 的 建议 。 (C. Denger. F. Shull, IEEE Software, 24 (2), 
March/ April 2007) 。http://doi. org/10. 1109/MS. 2007. 31, 

《Misleding Metrics and Unsound Analysis》 一 篇 优秀 的 论文 ， 引导 度量 研究 者 讨论 理解 度量 的 
真正 意义 及 面临 的 困难 (B.Kitchenham, R. Teffrey and C. Connaughton, IEEE Software , 24 (2), 
March-April 2007) o http ://dx. doi. org/10. 1109/MS. 2007. 49, 

{The Case for Quantitative Project Management) 这 是 一 本 杂志 中 特别 章节 的 绪论 ， 这 本 杂志 包 
插 其 他 两 篇 关于 量化 项 目 管理 的 文章 。 提 出 了 进一步 研究 度量 和 改善 软件 项 目 管理 的 度量 的 理 


由 ( B. Curtis et al , IEEE Software, 25 (3), May-June 2008), http ://dx. doi. org/10. 1109/ 


MS. 2008. 80) , 
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练习 
24.1 解释 为 什么 高 质量 的 软件 过 程 会 产生 高 质量 的 软件 产品 。 讨 论 这 种 质量 管理 体系 可 能 存在 的 问题 。 
24.2 解释 机 构 如 何 用 标准 去 获取 关于 软件 开发 的 有 效率 前 方法 。 提 出 4 种 可 在 机 构 标 准 中 获取 的 知识 。 
24.3 ”根据 图 27-7 给 出 的 质量 属性 讨论 软件 质量 评估 ， 依 次 说 明 每 个 属性 该 如 何 评估 。 
27.4 设计 一 个 电子 表格 ,使 之 可 以 记录 复查 意见 ， 可 以 把 这 些 意 见 以 电子 邮件 的 形式 发 送 给 复查 员 。 
24.5 简要 描述 可 能 用 到 的 标准 : 
mC. C++ 8& Java 中 使 用 控制 结构 ，; 
m 提交 一 所 大 学 的 学 期 安排 项 目的 报告 ; 
加 程序 变更 的 构建 和 批准 过 程 ( 见 第 26 3€) ; 
m 购买 并 安装 一 个 新 计算 机 的 过 程 。 
24.6 假设 你 所 在 的 工作 机 构 要 为 微型 计算 机 系统 开发 数据 库 产品 ， 而 该 机 构 对 这 个 软件 开发 的 量化 感 兴 
趣 ， 请 你 写 一 份 报告 提出 合适 的 量度 ， 并 说 明 如 何 收 集 量度 。 
24.7 解释 为 什么 程序 审查 是 发 现 程 序 错误 的 一 个 非常 有 效 的 方法 ? 在 审查 中 不 可 能 发 现 什么 类 型 的 错 ? 
244.8 为 什么 设计 量度 就 其 自身 而 言 不 是 预测 设计 质量 的 好 方法 ? 
24.9 解释 为 什么 确认 内 部 产品 属性 (如 环 路 复杂 度 ) 与 外 部 属性 (如 可 维护 性 ) 之 间 的 关系 是 困难 的 。 
24. 10 ”有 个 同事 是 很 棒 的 程序 员 ， 做 的 软件 错误 数 很 少 ， 但 她 一 贯 忽视 机 构 的 质量 标准 。 机 构 的 管理 者 该 
怎样 对 待 这 种 行为 ? 
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目标 


本 章 的 目标 是 介绍 软件 配置 管理 过 程 和 工具 。 读 完 本 章 ， 你 将 了 解 以 下 内 容 : 

m 了 解 软 件 变 更 管理 的 过 程 和 规程 ; 

m 了解 版 本 管理 系统 必须 提供 的 重要 功能 以 及 版 本 管理 和 系统 构建 之 间 的 关系 ; 

m 了 解 系统 版 本 和 系统 发 布 的 区 别 ， 了 解 发 布 管理 过 程 的 各 个 阶段 。 — 

在 开发 和 使 用 过 程 中 软件 系统 常常 会 变更 。 必 须发 现 错误 并 加 以 修正 。 系 统 需求 变更 后 ， 开 
发 者 不 得 不 在 新 版 本 中 实现 这 些 变 更 。 有 了 新 版 本 的 硬件 和 系统 平台 之 后 ， 开 发 者 不 得 不 使 自 
己 的 系统 与 之 兼容 。 竞 争 考 在 他 们 的 系统 中 引入 新 的 特性 时 ， 你 一 定 也 要 做 出 相应 的 调整 。 当 软 
件 发 生变 更 时 ， 一 个 新 的 版 本 就 产生 了 。 因 此 ， 大 多 数 系统 都 有 一 系列 的 版 本 ， 每 一 个 版 本 都 需 
要 进行 维护 和 管理 。 

MERAH (CM) 与 管理 变更 软件 系统 的 政策 、 过 程 和 工具 有 关 。 进 化 中 的 系统 之 所 以 需要 
管理 ， 是 因为 系统 在 进化 时 会 产生 许多 不 同 的 版 本 ， 这 些 版 本 包含 了 变更 提议 、 错 误 修正 以 及 对 
不 同 硬件 和 操作 系统 的 适应 等 诸多 内 容 。 可 能 有 几 个 版 本 同时 开发 、 同 期 使 用 。 这 样 就 需要 跟踪 
已 经 实现 的 变更 以 及 这 些 变更 是 怎样 包含 在 软件 产品 中 的 。 如 果 没 有 有 效 的 配置 管理 规程 ， 就 
可 能 浪费 精力 修改 一 个 错误 的 系统 版 本 或 发 布 一 个 错误 版 本 给 用 户 ， 黄 至 不 知道 特定 系统 或 组 
件 源 代码 存放 在 什么 地 方 。 

配置 管理 对 个 人 项 目 管理 来 说 非常 有 用 ， 因 为 开发 者 容易 忘记 已 做 过 的 变更 。 对 于 几 个 开 
发 者 同时 完成 一 个 软件 系统 的 团队 项 目 配置 管理 也 是 必要 的 。 有 时 这 些 开发 者 全 都 工作 在 同一- 
个 地 方 ， 但 是 ， 越 来 越 多 开发 团队 的 成 员 分 散在 世界 的 各 个 角落 。 配 置 管理 系统 的 使 用 确保 了 团 
队 能 够 获得 正在 开发 系统 的 信息 而 不 妨碍 彼此 的 工作 。 

一 个 软件 系统 产品 的 配置 管理 包括 4 个 紧密 相关 的 活动 ( 见 图 25-1): 













发 布 版 本 
ER 


图 25-1 配置 管理 活动 


1. 变更 管理 包括 跟踪 来 自 客 户 和 开发 者 的 软件 变更 请 求 ， 计 算 做 出 这 些 变更 的 花费 并 个 
计 其 影响 ， 决 定 是 否 变更 、 何 时 完成 变更 。 

2. 版 本 管理 ”包括 跟踪 系统 组 件 的 多 个 版 本 ， 确 保 由 不 同 开发 者 对 组 件 做 出 的 变更 不 会 彼 
此 干涉 。 
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3. 系统 构建 ”是 一 个 组 装 程序 组 件 、 数 据 和 库 的 过 程 ， 然 后 把 这 些 组 件 编译 链接 成 一 个 可 
执行 系统 。 

4. 发 布 管理 ”包括 准备 对 外 发 布 的 软件 ， 持 续 跟踪 已 经 发 布 以 供 客户 使 用 的 系统 版 本 。 

配置 管理 包括 处 理 海量 信息 和 许多 为 了 支持 配置 管理 而 开发 的 配置 管理 工具 。 这 些 工具 包 
括 简单 工具 ， 用 来 支持 单一 的 配置 管理 任务 ,例如 错误 追踪 ;也 包括 复杂 昂贵 的 集成 工具 ， 用 来 
支持 所 有 的 配置 管理 活动 。 

配置 管理 政策 和 过 程 规定 了 如 何 记 录 和 处 理 所 提议 的 系统 变更 ， 如 何 决定 需要 变更 的 系统 
组 件 ， 如 何 管理 系统 的 不 同 版 本 及 其 组 件 ， 如 何 向 客户 发 布 变更 。 配 置 管理 工具 用 来 追踪 变更 提 
议 ， 存 储 系 统 组 件 的 多 个 版 本 ， 从 这 些 组 件 中 构建 系统 ， 并 跟踪 系统 版 本 的 实际 发 布 。 

有 时 配置 管理 被 视 为 广义 的 软件 质量 管理 过 程 的 一 部 分 (软件 质量 管理 过 程 在 第 24 章 已 经 讨 
论 过 )。 质 量 管理 和 配置 管理 可 能 是 由 同一 个 管理 人 员 人 负责 的 。 当 一 个 软件 的 新 版 本 完成 后 ， 开 发 
人 员 把 软件 交 给 质量 保证 团队 ， 由 他 们 负责 检查 系统 的 质量 是 否 合乎 要 求 。 如 果 符 合 要 求 ， 则 该 系 
统 变 为 一 个 受 控 的 系统 ， 也 就 意味 着 在 系统 所 有 变更 实现 之 前 ， 它 们 必须 经 过 一 致 认可 和 记录 。 

配置 管理 标准 的 定义 和 使 用 对 ISO 9000、CMM 及 CMMI 标准 (Ahem 等 ，2001; Bamford 和 
Deibler, 2003; Paulk 等 ，1995; Peach, 1906) 的 质量 认证 是 至 关 重 要 的 。 这 些 CM 标准 基于 由 
一 些 主体 (例如 IEEE) 开发 的 通用 CM 标准 。IEEE 828 - 1998 就 是 一 个 配置 管理 计划 的 标准 。 
这 些 标准 集中 于 CM 过 程 和 在 CM 过 程 中 产生 的 文件 。 在 外 部 标准 的 基础 上 经 过 加 工 剪裁 ， 可 以 
形成 更 加 具体 的 适 于 专门 环境 的 机 构 标 准 。 

配置 管理 的 难题 之 一 一 是 不 同 的 公司 使 用 不 同 的 术语 称呼 相同 的 概念 。 这 是 有 历史 原因 的 。 
军用 软件 系统 可 能 是 第 一 个 使 用 配置 管理 的 系统 ， 这 些 系 统 术语 反映 了 已 经 存在 的 硬件 配置 管 
理 的 过 程 和 流程 。 商 业 系统 的 开发 者 对 军事 过 程 和 术语 不 熟悉 因此 发 明了 适合 自己 的 术语 。 敏 
捷 方 法 也 设计 了 新 的 术语 ， 有 时 引入 专门 的 术语 来 区 别 敏捷 方法 和 传统 的 CM 方法 。 图 25-2 解 
释 了 本 章 使 用 的 配置 管理 术语 。 
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与 配 管理 控制 下 的 软件 项 目 有 关 的 任何 事物 (设计 、 代 码 、 测 试 数据 、 文 档 
配置 项 或 软件 配置 项 (SC) | 等 ) 。 配 置 项 会 存在 多 个 不 同 的 版 本 。 每 个 配置 项 都 有 一 个 唯一 的 名 字 
确保 系统 和 组 件 的 版 本 得 到 记录 和 维护 的 过 程 。 这 样 变更 就 会 得 到 管理 ， 所 有 
的 组 件 的 版 本 都 能 在 整个 系统 生命 期 中 识别 和 存储 


配置 项 的 一 个 实例 ， 区 别 于 其 他 配置 项 的 实例 。 版 本 总 是 有 一 个 唯一 的 标识 符 ， 
通常 由 配置 项 名 字 加 上 版 本 号 组 成 


基线 是 用 于 组 成 系统 的 组 件 版 本 的 集合 。 基 线 是 受 控 的 ， 意 味 着 构成 系统 的 组 
件 的 版 本 是 不 能 改变 的 。 我 们 总 是 可 以 从 它 的 组 成 组 件 中 重新 创建 一 个 基线 


代码 线 是 软件 组 件 以 及 组 件 所 依赖 的 其 他 配置 项 的 集合 
代表 系统 不 同 版 本 的 基线 的 序列 
发 布 给 客户 (或 其 他 机 构 中 用 户 ) 使 用 的 系统 版 本 


一 个 私有 的 工作 空间 ， 在 其 中 软件 可 以 修改 而 不 至 于 影响 其 他 会 使 用 或 修改 软 
件 的 开发 者 


从 现存 的 代码 线 的 版 本 中 创建 一 个 新 的 代码 线 。 然 后 新 的 代码 线 和 已 经 存在 的 
代码 线 可 以 独立 开发 


通过 合并 在 不 同 代码 线 中 的 单独 版 本 创建 软件 组 件 的 新 版 本 。 这 些 代码 线 可 能 
是 由 某 个 代码 线 的 先前 存在 的 分 支 所 创建 的 


通过 耦合 和 链接 组 件 和 库 的 适当 版 本 创建 一 个 可 执行 的 系统 版 本 
图 25-2 ”配置 管理 术语 
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25.1 变更 管理 


变更 对 大 型 软件 系统 而 言 是 一 种 无 法 更 改 的 事实 。 在 系统 的 整个 生命 周期 内 机 构 的 需要 和 
需求 发 生 改 变 ， 错 误 需 要 修正 ， 系 统 需要 适应 变化 了 的 环境 。 为 了 确保 变更 以 一 种 可 控制 的 方式 
应 用 在 系统 中 ， 开 发 者 需要 一 系列 工具 的 支持 和 变更 管理 程序 。 变 更 管理 确保 系统 的 进展 是 一 
个 可 管理 的 过 程 ， 并 且 最 紧急 和 费 效 最 优 的 变更 拥有 最 高 的 优先 权 。 

变更 管理 过 程 主 要 关心 的 是 对 所 提议 的 变更 的 成 本 收益 分 析 ， 保 证 变更 是 值得 去 做 的 ， 并 
且 记 录 系统 的 哪些 组 件 已 经 改变 。 图 25-3 是 一 个 变更 管理 过 程 的 例子 ， 它 显示 了 主要 的 变更 管理 
活动 。 有 许多 不 同 的 此 种 过 程 的 变种 在 使 用 ， 但 是 ， 为 了 有 效 起 见 ， 变 更 管理 过 程 总 是 包含 检查 
方法 、 成 本 估计 和 变更 确认 等 内 容 。 当 软件 交付 给 客户 用 来 发 布 或 是 提交 给 一 个 机 构 用 来 部 署 
时 ， 变 更 管理 过 程 就 开始 启动 了 。 


客户 支持 








E 25-3 变更 管理 过 程 


当 一 名 “客户 ”完成 并 提交 一 个 描述 对 系统 的 变更 的 变更 请 求 时 ， 变 更 管理 过 程 就 开始 了 。 
这 可 能 是 一 个 描述 错误 症状 的 错误 报告 ， 也 可 能 是 增加 系统 附加 功能 的 请 求 。 一 些 公司 分 开 处 
理 错误 报告 和 新 的 请 求 ， 但 原则 上 它们 都 是 简单 的 变更 请 求 。 变 更 请 求 可 以 通过 填写 变更 请 求 
表 (CRF) 来 提交 。 在 这 里 使 用 “客户 ”来 概括 其 他 不 是 开发 团队 的 人 ， 因 此 变更 可 以 由 公司 
其 他 部 门 提出 ， 例 如 市 场 营 销 部 门 。 

电子 变更 请 求 表 记录 了 可 以 由 所 有 变更 管理 小 组 分 享 的 信息 。 当 处 理 变更 请 求 时 ， 添 加 到 
变更 请 求 表 中 的 信息 记录 了 处 理 过 程 的 每 一 阶段 所 向 的 决定 。 因 此 ， 在 任何 阶段 CRF 代表 变更 
请 求 状态 的 一 个 快照 。 除 了 记录 需要 的 变更 之 外 ，CRF 还 要 记录 有 关 变更 的 提议 、 变 更 的 估算 
成 本 ， 以 及 变更 的 请 求 、 核 准 、 实 现 和 有 效 性 验证 等 日 期 。 另 外 CRF 还 可 能 包括 的 一 个 部 分 就 
是 开发 人 员 对 如 何 实现 变更 的 概述 。 | 

图 25-4 是 一 个 变更 请 求 表 的 例子 ， 图 中 只 给 出 了 一 部 分 内 容 。 这 是 在 一 个 大 型 复杂 系统 设 
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计 项 目 中 使 用 的 CRF 的 一 个 例子 。 对 于 小 的 项 目 ， 建 议 的 变更 请 求 要 得 到 正式 记录 ， 但 是 CRF 
可 以 集中 在 对 所 要 求 的 变更 的 描述 上 ， 而 无 需 对 实现 问题 给 以 太 多 的 描述 。 作 为 一 名 系统 开发 
者 ， 必 须 决定 如 何 实 现 变 更 以 及 估计 实现 变更 所 需 的 时 间 。 





















变更 请 求 表 | 
项 目 : SICSA/AppProcessing Number ; 23/02 
变更 请 求 者 : L Sommerville Date: 2009 -01 -20 
请 求 的 变更 : 申请 者 的 状态 应 该 显示 在 申请 人 列表 中 
变更 分 析 人 : R. Looek 分 析 日 期 : 25/01/09 


受 影响 的 组 件 : ApplicantListDisplay ，StatusUpdater 

相关 的 组 件 : StudentDatabase 

变更 评估 : 实现 比较 简单 ， 可 以 根据 状态 改变 显示 颜色 。 需 要 增加 一 个 表 将 状态 和 颜色 关联 起 来 ， 无 需 修 改 任 
何 相 关 组 件 

变更 优先 级 : 中 

变更 实现 : 

估计 的 工作 量 : 2 小 时 

到 SGA 应 用 团队 的 日 期 : 28/01/09 CCB 决定 日 期 : 30/01/09 

决定 ; 接受 变更 。 变 更 将 在 版 本 2. 1 中 实现 。 

变更 实现 者 : 变更 日 期 : 

向 QA 提交 的 日 期 : QA RE: 

向 CM 提交 的 日 期 : 

注释 








图 25-4 ”部 分 完成 的 变更 请 求 表 


客户 和 变更 

敏捷 方法 强调 在 变更 优先 权 选 择 过 程 中 客户 参与 的 重要 性 。 客 户 代 表 帮 助 团队 决定 在 下 
个 开发 循环 中 需要 实现 的 变更 。 尽 管 这 对 于 像 那 些 为 单个 客户 开发 的 系统 来 说 是 有 效 的 ， 它 
对 于 那些 没有 真正 的 客户 与 团队 一 起 工作 的 产品 是 有 问题 的 。 在 这 样 的 情况 下 ， 团 队 需 要 自 
己 决 定 变更 的 优先 权 顺 序 。 

http://www, SoftwareEngineering-9. com/Web/ CM/ agilechanges. html 


变更 请 求 提交 后 ， 首 先 需 要 进行 检查 以 确保 是 否 有 效 。 检 查 者 可 以 来 自 于 客户 、 应 用 支持 团 
队 或 者 是 开发 团队 的 一 个 成 员 (内 部 请 求 时 ) 。 因 为 并 不 需要 响应 所 有 的 变更 请 求 ， 所 以 检查 是 
必要 的 。 如 果 变 更 请 求 是 一 个 错误 报告 ， 这 个 错误 可 能 已 经 记录 过 了 。 有 时 ， 用 户 认 为 的 问题 实 
际 上 是 由 于 对 系统 的 误解 而 提出 的 。 有 时 ， 用 户 请 求 一 些 已 经 完成 的 属性 ， 但 他 们 并 不 知道 有 关 
这 些 属 性 的 知识 。 如 果 上 述 任 一 种 情况 出 现 ， 那 么 变更 请 求 就 结束 了 ， 并 且 以 结束 的 原因 来 更 新 
表格 。 如 果 变 更 请 求 是 有 效 的 ， 那 么 就 为 随后 的 分 析 记录 一 个 显著 的 请 求 。 

对 于 有 效 的 变更 请 求 ， 变 更 管理 过 程 的 下 一 个 阶段 就 是 对 变更 进行 评估 和 成 本 估算 。 这 通 
常 是 开发 团队 或 者 维护 团队 的 任务 ， 因 为 他 们 能 够 计算 出 完成 变更 所 需 的 成 本 。 变 更 对 系统 其 
他 部 分 带 来 的 影响 必须 逐一 核查 ， 因 此 开发 者 必须 检查 所 有 因 变 更 而 受到 影响 的 组 件 。 如 果 恋 
更 意味 着 需要 对 系统 其 他 部 分 的 进一步 变更 ， 那 么 这 明显 会 增加 完成 变更 的 成 本 。 接 下 来 评估 
系统 请 求 变更 的 模块 。 最 后 估算 实现 变更 的 成 本 以 及 其 他 系统 组 件 可 能 要 相应 发 生变 更 的 成 本 。 

由 以 上 分 析 可 知 ， 应 该 由 一 个 专门 的 小 组 来 决定 做 出 软件 变更 是 否 是 划算 的 。 对 于 军用 和 
政府 系统 ， 这 个 小 组 常 被 称 为 变更 控制 委员 会 (CCB)。 工 业 上 可 能 被 称 为 “产品 开发 小 组 ”， 
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负责 决定 一 个 软件 系统 如 何 进 展 。 除 非 变 更 只 包括 改正 屏幕 显示 或 文件 中 的 小 错误 ， 否 则 都 应 
该 提交 给 这 个 小 组 ， 由 它 来 决定 是 否 应 该 同意 变更 。 当 分 析 比 完成 变更 花费 更 多 时 , ,应 该 无 须 通 
过 分 析 就 通过 开发 团队 的 变更 请 求 。 

变更 控制 委员 或 是 产品 开发 小 组 应 从 战略 的 、 机 构 的 角度 ， 而 不 应 从 技术 角度 去 考查 变更 
带 来 的 影响 。 由 它 来 决定 该 变更 在 经 济 上 是 否 合理 ， 机 构 内 部 是 否 有 同意 变更 的 充分 理由 。 已 同 
意 的 变更 请 求 反馈 给 开发 团队 ， 驶 回 的 变更 请 求 就 此 结束 而 无 需 采 取 进 一 步行 动 。 在 决定 是 否 
同意 变更 请 求 时 需要 考虑 的 重要 因素 有 : 

l. 不 做 变更 会 引起 的 后 果 ” 当 评估 一 个 变更 请 求 时 ， 必须 考 虑 如 果 变 更 没有 完成 将 会 发 生 
什么 。 如 果 变 更 和 系统 错误 有 关 ， 则 变更 失败 的 严重 性 必须 要 考虑 到 。 如 果 系 统 错误 引起 系统 裔 
省 ， 这 是 非常 严重 的 ， 可 能 会 影响 系统 的 正常 使 用 。 另 一 方面 ， 如 果 错 误 的 后 果 影 响 较 小 ， 比 如 

显示 颜色 的 错误 ， 那 么 并 不 需要 立即 修正 错误 ， 因 此 变更 只 需 一 个 较 低 的 优先 权 。 

2. 变更 的 益处 变更 是 否 使 系统 的 许多 用 户 受 益 ? 或 者 仅仅 只 令 变更 的 提议 者 受益 ? 

3. 变更 影响 的 用 户 数 ” 只 要 有 一 部 分 用 户 受 到 影响 ， 就 给 变更 分 配 一 个 较 低 的 优先 权 。 事 
实 上 ， 当 变更 可 能 对 大 多 数 的 系统 用 户 有 不 利 影响 时 ， 则 该 变更 是 不 可 取 的 。 

4. 变更 所 需 花费 ”如 果 变 更 影响 许多 系统 组 件 〈 因 此 增加 了 引 人 新 错误 的 机 会 ) ， 并 且 / 或 
者 完成 变更 需要 花费 大 量 的 时 间 ， 那 么 评估 变更 花费 后 该 变更 可 能 被 驱 回 。 

5. 产品 发 布 循环 ”如 果 软 件 的 一 一 个 新 版 本 刚刚 发 布 完 ， 那么 推迟 变更 直到 计划 发 布下 一 个 
版 本 时 的 做 法 是 有 意义 的 。 

对 软件 产品 的 变更 管理 (例如 CAD 系统 产品 ， 比 为 特定 客户 开发 的 软件 系统 的 变更 管理 的 
处 理 上 稍 有 不 同 。 对 软件 产品 ， 客 户 并 不 直接 参与 进来 ， 所 以 变更 与 客户 业务 的 相关 性 不 是 问 
题 。 这 些 产 品 中 的 变更 请 求 来 自 客户 支持 团队 、 公 司 市 场 营 销 团队 和 开发 团队 自身 。 这 些 需 求 可 
能 反映 来 自 客户 的 建议 和 反馈 ， 或 者 是 由 竞争 产品 提供 的 分 析 。 

客户 支持 团队 提交 的 变更 请 求 可 能 与 软件 发 布 后 由 客户 发 现 并 报告 的 错误 相 联 系 。 客 户 可 
能 通过 网 页 或 是 电子 邮件 来 报告 缺陷 。 缺 陷 管 理 小 组 确认 缺陷 并 把 它们 写成 正式 的 系统 变更 请 
求 。 市 场 工作 人 员 会 见 客户 并 调查 竞争 产品 ， 他 们 建议 的 变更 可 能 会 包括 如 何 更 容易 地 向 新 客 
户 推销 系统 的 新 版 本 。 系 统 开 发 者 可 能 会 有 一 些 可 以 添加 到 系统 中 的 新 属性 的 好 想法 。 

图 25-3 显示 了 系统 向 客户 发 布 后 的 变更 请 求 过 程 。 开 发 期 间 ， 当 系统 的 新 版 本 通过 每 日 的 
系统 构建 创建 以 后 ， 就 可 以 采用 较为 简单 的 变更 管理 过 程 了 。 出 现 的 问题 和 进行 的 变更 仍然 要 
记录 下 来 ， 但 是 只 影响 到 单个 组 件 和 模块 的 变更 ， 不 需要 单独 评估 ， 直 接 把 它们 送 到 系统 开发 人 
员 手 中 即 可 。 他 们 或 者 接受 它们 ， 或 者 论证 为 什么 这 些 变更 是 不 必要 的 。 当 变更 影响 到 由 不 同 开 
发 团队 生产 的 系统 模块 时 ， 还 是 应 严 该 自 茶 些 变更 控制 权威 人 士 〈 例 如 系统 构建 者 ) 进行 评估 ， 
由 他 们 决定 这 些 变更 的 优先 权 。 

在 一 些 敏 捷 方 法 中 ， 例 如 极限 编程 中 ， 客 户 直接 参与 决定 是 否 实现 变更 。 当 他 们 对 系统 需求 
提出 变更 时 ， 他 们 与 项 目 组 成 员 一 起 评估 变更 产生 的 影响 ， 然 后 决定 这 个 变更 是 否 应 该 优先 于 
RE AMI. 然而 ， 涉 及 系统 改善 的 变更 就 留 给 系统 编程 人 员 来 决定 了 。 对 

经 完成 的 代码 进行 改进 的 过 程 ， 是 软件 不 断 得 到 改善 的 过 程 ， 它 不 能 看 成 是 一 项 经 常 开 支 ， 而 
是 开发 的 一 个 必要 部 分 

当 开发 团队 变更 软件 组 件 时 ， 他 们 应 该 维护 每 个 组 件 的 变更 记录 ， 有 时 把 这 称 为 组 件 的 导 
出 历史 。 保 持 导 出 历史 的 最 佳 方 式 是 将 它 放 在 组 件 源 代码 开头 的 标准 化 的 注释 部 分 ( 见 
图 25-5) 。 这 些 注释 应 该 索引 到 引起 系统 变更 的 请 求 。 于 是 你 就 可 以 写 出 扫描 所 有 组 件 的 简单 肢 
本 并 处 理 导出 历史 来 产生 组 件 变 更 报告 。 对 于 文档 ， 在 每 个 版 本 中 的 变更 记录 经 常 放 在 一 个 独 
立 页 中 ， 一 般 放 在 文档 的 前 面部 分 。 在 关于 文件 的 网 页 章节 讨论 e TREER, 
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// SICSA project (XEP 6087) 

// APP-SYSTEM/AUTH/RBAC/USER ROLE 
// 

// Object: currentRole 


// Author: R. Looek 
// Creation date: 15/11/2009 


// 
// © St Andrews University 2009 


// 

// Modification history 

// Version Modifier Date Change Reason 

// 1.0 J.Jones 11/11/2009 Add header Submitted to CM 

// V1 R.Looek 13/11/2009 New field Change req. R07/02 





图 25-5 导出 历史 


变更 管理 由 专门 的 软件 工具 支持 。 这 些 可 能 是 相对 简单 的 基于 网 页 的 工具 ， 比 如 说 Bugzilla。 
它 用 许多 开放 的 资源 系统 来 报告 问题 。 相 对 而 言 ， 复 杂工 具 的 使 用 令 变 更 处 理 自动 化 ， 包 括 从 最 
初 的 客户 提议 到 批准 变更 的 整个 过 程 。 


25.2 版 本 管理 


RAPHE (Version Management, VM) 是 跟踪 软件 组 件 或 配置 信息 以 及 使 用 这 些 组 件 系统 的 
不 同 版 本 的 过 程 。 版 本 管理 也 包括 确保 由 不 同 开发 者 做 出 的 变更 不 会 彼此 影响 。 因 此 ， 可 以 把 版 
本 管理 过 程 看 做 是 管理 代码 线 和 基线 的 过 程 。 

图 25-6 说 明了 代码 线 和 基线 之 间 的 差别 。 本 质 上 ， 代 码 线 就 是 源 代码 版 本 的 序列 ， 一 个 晚 
期 的 版 本 是 由 某 个 早期 版 本 发 展 而 来 。 代 码 线 通常 应 用 于 组 件 以 便 每 个 组 件 有 不 同 的 版 本 。 基 
线 是 对 一 个 特殊 系统 的 定义 。 因 此 基线 指 的 是 包含 在 系统 中 的 组 件 版 本 加 上 所 使 用 的 库 的 描述 、 
配置 文件 等 。 由 图 25-6 可 以 看 出 ， 不 同 的 基线 使 用 来 自 各 个 代码 线 的 不 同 组 件 版 本 。 图 中 的 阴 
影 方 盒 代表 了 定义 在 基线 中 的 组 件 ， 表 明 实 际 上 引用 了 代码 线 中 的 组 件 。 主 线 是 由 一 个 原始 基 
线 发 展 而 来 的 系统 版 本 序列 。 





代码 线 (A) 基线 -V1 
Al.l Al.2 Al.3 
a EI 
代码 线 (B) 
| B | [B1.1| 
基线 -V2 
代码 线 (C) 
加 
— 


[4] 12] [e ] [82] 主线 
图 25-6 ”代码 线 和 基线 


可 能 会 使 用 一 种 配置 语言 来 详 述 基线 ， 以 便 用 户 定义 一 个 特殊 系统 版 本 所 包括 的 组 件 。 精 
确 地 描述 一 个 组 件 版 本 或 者 仅仅 只 是 描述 组 件 标 识 符 都 是 可 行 的 。 若 使 用 标识 符 ， 则 意味 着 在 
基线 中 应 该 使 用 组 件 的 最 近 版 本 。 

基线 很 重要 ， 因 为 开发 者 常常 不 得 不 重建 一 个 完整 系统 的 特定 版 本 。 例 如 ， 一 个 产品 线 需要 
实例 化 为 不 同 客 户 产生 不 同 的 个 人 系统 版 本 。 假 如 客户 报告 了 系统 中 错误 ， 那 么 开发 者 不 得 不 
重建 这 个 版 本 。 
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为 了 支持 版 本 管理 ， 应 该 经 常 使 用 版 本 管理 工具 (有 时 称 为 版 本 控制 系统 或 者 源 代码 控制 


系统 ) 。 这 些 工 具 识别 、 存 储 并 控制 不 同 版 本 的 存储 。 有 许多 可 使 用 的 版 本 管理 系统 ， 包 括 被 广 
泛 使 用 的 开源 系统 ， 比 如 CVS 和 Subversion, 

版 本 管理 系统 通常 提供 一 系列 特征 : 

1. 版 本 和 发 布 版 本 识别 ”被 管理 版 本 提交 给 系统 时 给 它们 分 配 标 识 符 。 这 些 标识 符 通常 基 
于 配置 项 的 名 字 〈 例 如 ButtonManager) ， 后 跟 一 位 或 几 位 数字 。 因 此 ButtonManager 1.3 表示 此 组 
件 代 码 线 1 的 第 三 个 版 本 。 一 些 CM 系统 也 允许 关联 上 版 本 的 属性 (例如 mobile, smallscreen ) , 
这 些 也 能 够 用 来 鉴别 版 本 。 一 个 一 致 的 识别 系统 是 重要 的 ， 因 为 它 简化 了 定义 配置 的 问题 。 它 也 
使 快速 索引 更 简单 (例如 ，*. V2 意 为 所 有 组 件 的 版 本 2) 。 

2. 存储 管理 ”为 了 减少 只 有 轻微 差异 的 不 同 版 本 所 占 存储 空间 ， 版 本 管理 系统 通常 会 提供 
存储 管理 工具 。 系 统 只 存储 每 个 版 本 不 同 之 处 的 列表 而 不 是 每 个 版 本 的 副本 。 通 过 把 这 些 应 用 
到 源 版 本 (通常 是 最 近 的 版 本 ) 上 ， 就 能 够 重建 目标 版 本 。 

3， 变 更 历史 记录 。 记录 并 列 出 所 有 对 系统 或 组 件 做 出 的 变更 。 在 一 些 系统 中 ， 这 些 变 更 可 
能 用 来 选择 一 个 特殊 的 系统 版 本 。 我 们 可 以 用 描述 所 做 的 变更 的 关键 词 来 标记 组 件 。 然 后 就 可 
以 用 这 些 标记 来 选择 包括 在 基线 中 的 组 件 。 

4. 独立 开发 ”不同 的 开发 者 可 能 在 同一 时 间 正 在 相同 的 组 件 上 工作 。 版 本 管理 系统 跟踪 检 
出 的 组 件 ， 确 保 由 不 同 开 发 者 对 组 件 做 出 的 变更 不 会 彼此 影响 。 

5. 项 目 支持 ”一 个 版 本 管理 系统 可 能 支持 共享 组 件 的 几 个 项 目的 开发 。 在 项 目 支持 系统 
《比如 CVS (Vesperman, 2003)) 中 ， 可 能 检 和 人 和 检 出 所 有 与 项 目 相关 的 文件 ， 而 不 是 一 次 只 能 
在 一 个 文件 或 目录 上 工作 。 

当 首次 开发 版 本 管理 系统 时 ， 存 储 管理 是 其 最 重要 的 功能 之 一 。 版 本 控制 系统 中 的 存储 管 
理 特征 减少 了 维护 所 有 系统 版 本 所 需 的 硬盘 空间 。 当 创建 一 个 新 版 本 时 ， 系 统 只 创建 新 版 本 和 
较 旧 版 本 之 间 的 不 同 之 处 的 一 个 列表 ， 然 后 根据 这 个 列表 来 创建 新 版 本 (如 图 25-7 所 示 ) 。 在 图 
25-7 中 ， 阴 影 的 部 分 代表 早期 组 件 版 本 ， 它 由 最 近 组 件 版 本 自动 创建 。 增 量 备 份 用 来 存储 变更 
代码 行 ， 并 应 用 这 些 代码 行 自动 由 一 个 版 本 创建 男 一 个 版 本 。 最 近 的 组 件 版 本 最 可 能 被 调用 ， 因 
此 大 多 数 系统 完整 地 存储 最 近 的 组 件 版 本 。 增 量 备份 定义 怎么 重建 早期 的 系统 版 本 。 


创建 日 期 





版 本 序列 





存储 结构 
图 25-7 ”使 用 增 量 的 存储 管理 

大 多 数 的 软件 开发 是 一 个 团队 活动 ， 因 此 经 常会 有 不 同 的 团队 在 同一 时 间 开 发 同一 组 件 的 
情况 。 例 如， 假设 Alice 对 系统 做 出 一 些 变更 ， 包 括 变更 组 件 A、B 和 C。 与 此 同时 ，Bob 需要 变 
更 组 件 X、Y 和 C, Kik Alice 和 Bob 都 需要 变更 组 件 C。 这 些 变更 不 会 影响 到 彼此 是 非常 重要 
的 一 一 Bob 的 变更 覆盖 Alice 的 变更 ， 反 之 亦 然 。 

为 了 使 彼此 之 间 不 相互 干涉 ， 支 持 独立 开发 ， 版 本 管理 系统 使 用 一 个 公共 仓库 和 -一个 私有 
工作 空间 的 概念 。 开 发 者 从 公共 仓库 把 组 件 取 到 他 们 的 私有 工作 空间 ， 并 且 可 以 在 私有 工作 空 
间 中 按照 他 们 的 意愿 来 变更 组 件 。 当 变更 完成 后 ， 把 组 件 再 放 回 到 公共 仓库 中 。 图 25-8 说 明了 
这 一 点 。 如 果 两 个 或 更 多 的 开发 者 同一 时 间 开 发 同一 组 件 ， 每 个 开发 者 必须 检查 仓库 中 的 组 件 。 
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如 果 取 出 一 个 组 件 ， 版 本 管理 系统 将 会 通知 警告 其 他 使 用 者 该 组 件 已 经 被 取出 。 当 放 回 的 组 件 
被 修改 时 ， 系 统 将 会 确保 给 不 同 的 版 本 分 配 不 同 的 标识 符 并 把 他 们 分 开 存放 。 


工作 空间 (U1) 工作 空间 (U2) 


1 Œ] i 
Alice Bob 








图 25-8 ”从 版 本 容器 中 检 入 和 检 出 
相同 组 件 独立 开发 的 一 个 后 果 是 代码 可 能 会 出 现代 码 线 分 支 。 可 能 会 有 几 个 独立 的 版 本 序 
列 ， 而 不 是 反应 变更 的 一 个 线性 版 本 序列 ， 如 图 25-9 所 示 。 不 同 的 开发 者 独立 地 在 不 同 的 源 代 
码 版 本 上 工作 并 以 不 同 的 方式 做 出 改变 ， 这 在 系统 开发 中 是 很 常见 的 。 


代码 线 2.1 





图 25-9 分 支 和 合并 


在 某 一 阶段 ， 合 并 代码 线 分 支 以 创建 一 个 组 件 的 新 版 本 ,使 其 包括 所 有 已 做 的 变更 ， 这 可 能 
是 必要 的 。 这 也 在 图 25-9 示意 出 。 组 件 版 本 2. 1.2 和 2.3 合并 创建 了 组 件 2.4。 如 果 变 更 发 生 在 
代码 的 完全 不 同 的 部 分 ， 版 本 管理 系统 会 通过 对 应 用 到 代码 的 增 量 做 混合 使 组 件 版 本 自动 合并 。 
更 常见 的 情况 是 ， 所 做 变更 会 有 重要 部 分 ， 它 们 会 影响 到 彼此 。 开 发 者 必须 检查 出 冲突 并 且 修改 
变更 以 使 它们 相 兼 容 。 


25.3 系统 构建 


系统 构建 是 把 软件 组 件 、 外 部 的 库 、 配 置 文件 等 编译 和 链接 成 一 个 完整 的 、 可 执行 的 程序 的 
过 程 。 系 统 构建 工具 和 版 本 管理 工具 必须 进行 通信 ， 因 为 构建 过 程 包括 在 版 本 管理 系统 管理 的 
知识 库 中 检查 组 件 版 本 信息 。 用 于 识别 基线 的 配置 描述 信息 也 用 于 系统 构建 工具 。 

构建 是 一 个 复杂 的 过 程 ， 很 容易 出 现 错误 。 可 能 有 3 种 不 同 的 系统 平台 ( 见 图 25-10): 

1. 开发 系统 ， 包 括 开发 工具 ， 比 如 编译 器 、 源 码 编辑 器 等 。 开 发 人 员 将 代码 从 版 本 管理 系 
统 下 载 到 私有 工作 空间 ， 再 做 修改 。 他 们 希望 在 自己 的 开发 环境 中 建立 一 个 系统 版 本 以 便 测试 ， 
然后 再 提交 做 出 的 修改 到 版 本 管理 系统 。 这 需要 在 私有 工作 空间 使 用 那些 本 地 构建 工具 去 处 理 
检 出 的 组 件 版 本 。 
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开发 系统 目标 系统 


可 执行 系统 

















图 25-10 开发 、 构 建 和 目标 平台 


2. 构建 服务 器 ， 用 于 构建 确定 的 、 可 执行 的 系统 版 本 。 它 和 版 本 管理 系统 紧密 交互 。 开 发 
人 员 在 系统 版 本 被 构建 之 前 将 代码 检 入 给 版 本 管理 系统 。 系 统 构建 可 能 依赖 外 部 库 ， 而 这 些 库 
并 未 包含 在 版 本 管理 系统 中 。 

3. 目标 环境 ， 这 是 系统 运行 的 平台 。 这 可 能 是 和 用 于 开发 和 构建 系统 相同 类 型 的 电脑 。 然 
而 ， 对 于 实时 和 和 骨 人 式 系统 来 说 ， 目 标 环境 相对 于 开发 环境 常常 更 微小 更 简单 〈 比 如 手机 ) 。 对 
于 大 型 系统 ， 目 标 环境 可 能 包含 数据 库 以 及 其 他 COTS 系统 ， 而 这 不 能 安装 在 开发 机 器 上 。 在 这 
两 种 情况 下 ， 在 开发 电脑 或 者 构建 服务 器 上 构建 和 测试 系统 都 是 不 可 能 的 。 

开发 系统 和 构建 服务 器 都 可 以 和 版 本 管理 系统 进行 交互 。 可 以 将 虚拟 机 系统 安装 在 构建 服 
务 器 上 或 者 一 个 专门 的 服务 器 上 。 对 于 由 入 式 系统 ， 可 能 在 开发 环境 中 安装 一 个 模拟 环境 进行 
测试 ， 而 不 是 使 用 实际 的 能 人 式 系统 平台 。 这 些 模 拟 机 器 能 够 提供 比 嵌 入 式 系统 更 好 的 调试 支 
持 。 然 而 ， 在 每 个 方面 模拟 能 人 式 系统 的 行为 都 是 很 困难 的 。 因 此 ， 必 须 在 执行 系统 的 实际 平台 
上 运行 系统 测试 ， 同 时 也 在 系统 仿真 器 上 执行 系统 测试 。 

系统 构建 就 是 将 软件 有 关 的 大 量 信息 和 它 的 运行 环境 装配 起 来 。 因 此 ， 除 了 非常 小 的 系统 
之 外 ， 使 用 自动 构建 工具 进行 系统 构建 是 很 有 意义 的 〈 见 图 25-11 ) 。 注 意 ， 在 构建 中 不 只 是 需 
要 源 代码 文件 ， 可 能 还 必须 将 其 与 外 部 提供 的 库 、 数 据 文件 〈 比 如 错误 消息 的 文件 ) 以 及 定义 
目标 安装 的 配置 文件 相 链 接 。 可 能 还 必须 指明 构建 所 要 使 用 的 编译 器 和 其 他 软件 工具 的 版 本 。 
理想 情况 下 ， 构 建 一 个 完整 的 系统 只 需要 一 个 命令 或 者 轻 点 一 次 鼠标 。 





图 25-11 系统 构建 


有 很 多 可 用 的 构建 工具 ， 一 个 构建 系统 可 能 提供 部 分 或 者 全 部 以 下 特征 : 

1. 构建 脚本 生成 ”在 必要 的 情况 下 ， 构 建 系统 应 该 分 析 待 构建 的 程序 ,识别 依 赖 的 组 件 ， 并 
且 自 动 生成 一 个 构建 脚本 (有 时 候 叫 做 配置 文件 ) 。 系 统 也 应 该 支持 手工 创建 和 编辑 构建 脚本 。 

2. 版 本 管理 系统 集成 ”构建 系统 应 该 从 版 本 管理 系统 中 检 出 需要 的 组 件 版 本 。 

3. 最 小 化 再 编译 “构建 系统 应 该 分 析出 哪些 源 代码 需要 进行 再 编译 ， 再 对 需要 的 代码 进行 
编译 。 
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4. 可 执行 系统 创建 ”构建 系统 应 该 将 编译 后 的 各 个 目标 代码 文件 以 及 其 他 需要 的 文件 ( 比 
如 库 文件 、 配 置 文 件 ) 链接 起 来 , 创建 可 执行 的 系统 。 

5. 测试 自动 化 ”有 的 构建 系统 能 够 使 用 自动 化 工具 ， 如 JUnit， 自 动 运 行 自动 测试 。 这 样 能 
够 检查 构建 是 否 被 变更 所 破坏 。 

6. 报告 构建 系统 应 该 提供 关于 运行 的 构建 或 者 测试 成 功 与 否 的 报告 。 

7. 文档 生成 ”构建 系统 可 能 能 够 生成 关于 构建 和 系统 帮助 页 面 的 版 本 注释 。 

构建 脚本 是 一 个 对 要 构建 的 系统 的 定义 。 其 中 包含 组 件 的 信息 以 及 它们 之 间 的 依赖 关系 ， 
用 于 编译 和 链接 系统 的 工具 的 版 本 信息 。 构 建 脚本 包括 配置 详细 描述 ， 所 以 所 使 用 的 脚本 语言 
通常 和 配置 描述 语言 一 样 。 配 置 语言 包括 描述 竺 包含 在 构建 中 的 系统 组 件 以 及 它们 之 间 的 关系 
的 结构 。 

由 于 编译 是 一 个 计算 量 密集 的 过 程 ， 支 持 系统 构建 的 工具 通常 设计 使 所 需要 的 编译 量 最 小 
化 。 为 达到 这 一 目的 ， 需 要 检测 是 否 存在 可 用 的 已 编译 版 本 。 如 果 存 在 ， 就 不 需要 重新 编译 这 个 
组 件 。 因 此 ， 需 要 有 一 种 方法 ， 无 二 义 地 将 组 件 的 源 代 码 和 相对 应 的 目标 代码 联系 起 来 。 

解决 这 个 问题 的 方法 是 : 赋予 存储 源 代码 组 件 的 文件 一 个 独一无二 的 签名 ， 从 这 个 源 代码 
编译 的 目标 文件 ， 也 赋予 一 个 相关 的 签名 。 签 名 能 够 识别 各 个 源 代码 版 本 ， 当 修改 源 代码 后 签名 
码 组 件 。 

存在 两 类 可 以 使 用 的 签名 : 

1. 修改 的 时 间 蕉 ” 源 代 码 文件 的 签名 是 文件 修改 的 时 间 日 期 。 如 果 组 件 的 源 代码 文件 在 相 
关 的 目标 代码 文件 之 后 修改 ， 系 统 就 认为 需要 重新 编译 以 生成 新 的 目标 代码 文件 。 

比如 ， 组 件 Comp. java 和 Comp. class 的 修改 时 间 惟 分 别 是 17: 03: 05: 02: 14: 2009 和 16: 34: 25 
:02: 12: 2009。 这 表示 Java 代码 修改 时 间 是 2009 年 2 月 14 号 17 点 3 分 $ 秒 ， 编 译 版 本 的 修改 时 
间 是 2009 年 2 月 12 号 16 点 34 分 25 秒 。 这 种 情况 下 ， 编 译 版 本 没有 包括 2 月 12 后 之 后 对 源 代 
码 的 修改 ， 系 统 会 自动 重新 编译 Comp, java。 

2. 源 代码 校 验 和 ” 源 代码 文件 的 签名 是 从 文件 中 数据 计算 出 的 校 验 和 。 校 验 和 函数 使 用 源 
代码 文件 作为 输入 ， 计 算出 一 个 独一无二 的 值 。 如 果 改 变 源 代码 ( 即使 是 一 个 字符 ) ， 就 将 生成 
不 同 的 校 验 和 值 。 这 样 就 肯定 能 够 判断 有 着 不 同 的 校 验 和 的 文件 是 不 相同 的 。 在 编译 之 前 给 源 
代码 赋予 校 验 和 唯一 的 标识 源 文件 。 然 后 构建 系统 将 校 验 和 标签 贴 在 生成 的 目标 代码 文件 上 。 
如 果 没 有 相同 标签 的 目标 代码 存在 ， 就 需要 重新 编译 源 代 码 。 

由 于 目标 代码 文件 没有 正规 的 版 本 标识 ， 第 一 种 方法 意味 着 只 有 最 新 编译 的 目标 代码 文件 
保存 在 系统 中 。 目 标 文件 一 般 通常 通过 名 字 和 源 代码 文件 联系 起 来 〈 比 如， 和 源 代码 文件 有 相 
同 的 名 字 ， 但 是 加 上 不 同 的 后 缀 ) 。 因 此 ， 源 文件 Comp. java 产生 目标 文件 Comp. class。 因 为 源 
文件 和 目标 文件 通过 名 称 联 系 起 来 ， 而 不 是 明确 的 源 文件 签名 ， 由 于 要 生成 相同 和 名字 的 目标 文 
件 ， 一 般 不 可 能 在 同一 个 目录 同一 时 间 建 立 源 代码 组 件 的 不 同 版 本 。 

校 验 和 方法 的 优点 是 允许 同时 保留 组 件 目 标 代码 的 多 个 不 同 版 本 。 签 名 〈 而 不 是 名 字 ) 将 
源 代码 和 目标 代码 联系 起 来 。 源 代码 和 目标 代码 有 相间 的 签名 。 因 此 ， 重 新 编译 的 时 候 ， 不 会 改 
写 原 来 的 目标 代码 ， 而 时 间 惟 的 方式 中 会 覆盖 原来 的 代码 。 编 译 会 生成 新 的 目标 代码 文件 ， 并 贴 
上 上 源 代码 的 签名 。 并 行 编译 是 可 以 的 ， 组 件 的 不 同 版 本 可 以 同时 进行 编译 。 

敏捷 方法 建议 : 应 该 使 用 自动 测试 《有 时 称 “ 烟 雾 测 试 ") 执行 那些 非常 频繁 的 系统 构建 ， 
从 而 发 现 软件 问题 。 频 繁 构建 可 能 是 连续 集成 过 程 〈《 见 图 25-12) 的 一 部 分 。 为 了 配合 敏捷 方法 
的 、 进 行 小 的 改变 的 理念 ， 持续 集成 包括 在 对 源 代 码 做 出 小 的 改变 后 ， 频繁 重 构 主线 。 持续 集成 
的 步骤 如 下 : 
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1. 将 主线 系统 从 版 本 管理 系统 中 检 出 到 开发 人 员 的 私有 工作 空间 。 

2. 构建 系统 并 运行 自动 测试 以 确保 所 构建 的 系统 能 够 通过 所 有 测试 。 如 果 没 能 通过 ， 构 建 
终止 。 这 时 应 该 通知 最 后 提交 主线 系统 的 开发 人 员 。 他 们 负责 修复 这 个 问题 。 

3. 完成 系统 组 件 的 变更 。 

4. 在 私有 工作 空间 构建 系统 并 重新 运行 测试 。 如 果 测 试 失败 ， 继 续 编辑 。 

5. 一 旦 系统 通过 测试 ， 将 它 检 入 到 构建 系统 ， 但 是 不 要 作为 新 系统 基线 提交 。 

6. 在 构建 服务 器 上 构建 系统 并 运行 测试 。 这 样 做 是 因为 在 检 出 系统 后 其 他 人 有 可 能 修改 了 
组 件 。 如 果 确 实 如 此 ， 检 出 失败 的 组 件 并 进行 编辑 ， 使 测试 在 私有 工作 空间 通过 。 

7. 如 果 系 统 在 构建 系统 上 通过 测试 ， 将 做 出 的 变更 作为 系统 主线 中 的 一 个 新 的 系统 基线 。 



















AL. 测试 失败 
—" 
测试 成 功 






成 功 


BARI 构建 和 提交 变更 到 
建 服务 器 测试 系统 VM 





25-12 ”持续 集成 


持续 集成 的 优点 是 ， 它 允许 尽快 发 现 并 且 修 复 由 不 同 开 发 人 员 的 交互 引起 的 问题 。 主 线 中 
最 近 的 系统 是 确定 的 工作 系统 。 然 而 ， 虽 然 持续 集成 是 一 个 好 想法 ， 但 在 系统 构建 中 实现 这 个 方 
法 并 不 总 是 可 行 的 。 原 因 如 下 : 

1， 如 果 系统 很 庞大 ， 构 建 和 测试 可 能 要 花费 大 量 时 间 。 因 此 不 太 可 能 每 天 构建 系统 几 次 。 

2. 如 果 开 发 平台 和 目标 平台 不 相同 ， 就 不 大 可 能 在 开发 人 员 的 私有 工作 空间 中 运行 系统 测 
试 。 硬 件 、 操 作 系统 或 者 安装 的 软件 都 可 能 存在 差异 。 因 此 需要 更 多 的 时 间 测 试 系统 。 

对 于 大 型 系统 或 者 执行 平台 和 开发 平台 不 相同 的 系统 来 说 ， 持 续集 成 可 能 不 太 实际 。 在 那 
些 环境 下 ， 可 以 使 用 每 日 构建 系统 。 其 特征 如 下 : 

1. 开发 机 构 设 定 系统 组 件 交 付 时 间 ( 比如 下 午 2 点 ) 。 如 果 开 发 人 员 有 正在 编写 的 组 件 的 新 
版 本 ， 他 们 必须 在 下 午 2 点 前 提交 。 组 件 可 能 并 不 完整 但 是 应 该 提供 一 些 能 够 测试 的 基本 功能 。 

2. 通过 编译 和 链接 这 些 组 件 构建 系统 的 新 版 本 ， 形 成 完整 的 系统 。 

3. 将 系统 交付 给 测试 组 ， 执 行 一 系列 预定 的 系统 测试 。 同 时 ， 开 发 人 员 仍 然 继 续 编写 组 件 ， 
增加 新 功能 ， 并 修复 之 前 测试 发 现 的 错误 。 

4. 记录 系统 测试 中 发 现 的 问题 ， 并 交还 给 系统 开发 人 员 。 他 们 在 随后 的 版 本 中 修复 这 些 
问题 。 

使 用 软件 频繁 构建 的 好 处 是 ， 找 到 一 些 问题 的 几率 增加 了 ， 这 些 问 题 源 于 过 程 早 期 组 件 的 
交互 。 频 繁 构建 鼓励 组 件 的 彻底 的 单元 测试 。 心 理学 上 ， 开 发 人 员 都 位 于 不 要 “破坏 构建 ”的 
压力 之 下 ， 即 他 们 都 尽量 避免 检 和 人 引起 整个 系统 崩 江 的 组 件 版 本 。 因 此 他 们 不 愿 提交 未 能 充分 
测试 的 新 的 组 件 版 本 。 结 果 是 ， 花 在 系统 测试 发 现 和 处 理 软件 错误 上 的 时 间 更 少 。 
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25.4 发 布 版 本 管理 

系统 的 发 布 版 本 是 分 发 给 客户 的 系统 版 本 。 对 于 大 众 市 场 软 件 。 通常 可 能 定义 两 种 类 型 的 
发 布 ， 一 种 是 主要 发 布 ， 用 于 交付 重要 的 新 功能 ; 另 一 种 是 小 型 发 布 ， 用 于 修复 漏洞 和 修复 用 户 
报告 的 问题 。 比 如 ， 这 本 书 在 苹果 Mac 电脑 上 书写 的 ， 操 作 系 统 是 0S 10. 5. 8。 这 表示 操作 系统 
OS 10 的 第 5 次 主要 发 布 的 第 8 次 小 型 发 布 。 在 经 济 上 来 说 ， 主 要 发 布 对 于 软件 卖主 非常 重要 ， 
因为 顾客 必须 对 此 付款 。 小 型 发 布 通常 是 免费 分 发 。 

对 于 定制 软件 或 者 软件 产品 线 ， 管 理 系 统 发 布 是 很 复杂 的 过 程 。 系 统 的 特别 发 布 版 本 可 能 
必须 为 每 个 客户 或 者 个 人 客户 生产 ， 可 能 同时 运行 几 种 不 同 的 系统 版 本 。 这 表示 销售 专门 软件 
产品 的 软件 公司 可 能 必须 管理 产品 的 数 十 种 甚至 数 百 种 不 同 的 发 布 版 本 。 他 们 的 配置 管理 系统 
和 过 程 必须 设计 成 能 提供 如 下 信息 : 哪 位 客户 使 用 何 种 系统 发 布 版 本 ， 以 及 发 布 版 本 和 系统 版 
本 的 关系 。 如 果 发 生 问题 ， 可 能 需要 重新 生产 已 经 交付 给 特定 客户 的 软件 。 

因此 ， 一 个 系统 的 发 布 版 本 生成 时 ， 必 须 编制 文档 以 保证 将 来 可 以 重新 准确 地 复制 它 。 这 一 
点 对 定制 的 、 生 命 周期 长 的 艇 人 式 系统 尤为 重要 。 客 户 可 能 很 多 年 都 使 用 一 个 这 样 的 系统 ， 在 距 
离 最 初 发 布 很 长 时 间 之 后 才 对 某 一 特定 的 软件 发 布 版 本 提出 具体 的 变更 需求 。 

为 发 布 版 本 编制 文档 ， 必 须 记 录用 来 产生 可 执行 代码 的 源 代码 组 件 的 特定 版 本 。 也 要 保存 
源 代码 文件 、 相 应 可 执行 代码 以 及 所 有 的 数据 和 配置 文件 。 还 应 该 记录 操作 系统 的 版 本 、 库 、 编 
译 程序 和 建立 软件 的 其 他 工具 。 这 些 在 日 后 建立 完全 相同 的 系统 时 用 得 上 。 在 这 种 情况 下 ， 软 件 

台 和 工具 的 拷贝 也 要 在 版 本 管理 系统 中 保存 。 

准备 并 分 发 一 个 系统 版 本 是 个 很 高 代价 的 过 程 ， 尤 其 是 那些 大 众 市 场 的 软件 产品 。 在 准备 
发 布 版 本 的 时 候 ， 除 了 必须 准备 的 技术 工作 之 外 ， 还 有 广告 、 宣 传 材料 以 及 到 位 的 市 场 策略 ， 说 
服 消费 者 购买 新 的 系统 版 本 。 必 须 认 真 考虑 发 布 的 时 间 间 隔 。 如 果 发 布 过 于 频繁 或 者 要 求 硬件 
升级 ， 客 户 就 可 能 不 愿意 升级 到 新 版 本 ， 特 别 是 当 他 们 需要 付费 的 时 候 ; 如 果 发 布 间隔 时 间 较 
长 ， 会 失掉 市 场 份额 ， 因 为 客户 会 购买 其 他 的 系统 。 

决定 何 时 发 布 系统 的 一 个 新 版 本 ， 应 该 通盘 考虑 技术 和 机 构 的 各 种 具体 情况 ， 如 图 25-13 
所 示 。 









因 X B x 


—— | 

如 果 报 告 说 有 严重 的 系统 缺陷 影响 了 很 多 用 户 对 系统 的 使 用 ， 那 么 很 有 必要 发 放 一 
个 缺陷 修补 版 本 。 然 而 ， 要 是 小 的 缺陷 ， 就 可 以 通过 发 放 一 个 补丁 的 办 法 〈 一 般 是 放 
在 因特网 上 ) 来 让 用 户 自己 对 当前 系统 执行 修补 操作 
平台 改变 当 操 作 系统 平台 的 新 版 本 发 布 时 ， 必 须 创 建 软件 应 用 的 一 个 新 发 布 版 本 
Lehman 的 第 五 条 定律 | 他 提出 在 每 个 版 本 中 的 功能 增 量 基本 上 是 个 定数 。 因 此 ， 如 果 一 个 系统 版 本 具有 相 


( 见 第 9 X) 当 多 的 新 功能 ， 他 就 会 不 得 不 跟随 一 个 修补 版 本 
由 于 竞争 对 手 的 相应 产品 的 出 更， 发 布 一 个 新 的 系统 版 本 是 必要 的 
















系统 的 技术 质量 


























市 场 需求 机 构 的 市 场 部 可 能 已 经 承诺 在 特定 日 期 发 布 一 个 新 版 本 
客户 变更 建议 对 于 定制 的 系统 ， 客 户 可 能 已 经 提出 了 一 些 特别 的 系统 变更 建议 ， 并 已 经 为 此 支付 








的 费用 。 他 们 希望 系统 一 实现 就 发 布 
图 25-13 影响 系统 发 布 规划 的 因素 
系统 的 发 布 版 本 不 仅仅 是 这 个 系统 的 可 执行 代码 。 发 布 版 本 还 包括 ; 
1. 配置 文件 ， 定 义 对 于 特定 安装 ， 发 布 版 本 应 该 如 何 配置 。 
2. 数据 文件 ， 比 如 错误 信息 的 文件 ， 是 成 功 进行 系统 操作 所 必需 的 。 
”3. 安装 程序 ， 用 来 帮助 在 目标 硬件 上 安装 系统 。 
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4. 电子 和 书面 文档 ， 用 于 系统 说 明 。 

5. 包装 和 相关 的 宣传 ， 为 发 布 版 本 所 做 的 工作 。 

发 布 版 本 的 创建 是 创建 包含 系统 发 布 版 本 的 所 有 组 件 在 内 的 文件 和 文档 集合 的 过 程 。 程 

序 的 可 执行 代码 及 所 有 相关 数据 文件 都 必须 在 版 本 管理 系统 中 找到 ， 并 贴 上 发 布 标识 符 。 
对 不 同 的 硬件 和 操作 系统 要 写 出 配置 描述 。 针 对 需要 配置 自己 的 系统 的 客户 ， 也 要 为 其 准备 好 
使 用 说 明 书 。 如 果 发 布 了 可 在 机 器 上 阅读 的 手册 ， 其 电子 拷贝 必须 与 软件 一 起 保存 起 来 。 还 要 写 
出 安装 程序 的 脚本 。 最 后 ， 当 所 有 的 信息 齐备 的 时 候 ， 必 须 准 备 该 软件 的 可 执行 母 版 移交 给 客户 
或 者 销售 渠道 。 . 

计划 新 系统 发 布 版 本 安装 的 时 候 ， 发 布 版 本 管理 者 不 能 想当然 地 认为 客户 总 是 想 安装 新 的 
系统 版 本 。 一 些 系统 用 户 可 能 满意 于 已 有 的 系统 版 本 。 也 许 他 们 认为 新 版 本 不 值得 为 之 付费 。 因 
此 系统 的 新 版 本 不 能 依靠 以 前 的 版 本 的 安装 。 为 阐明 该 问题 我 们 看 下 面 的 情景 ， 

l. 系统 的 发 布 版 本 1 已 发 布 并 投入 使 用 。 

2. 发 布 版 本 2 需要 安装 新 的 数据 文件 ， 而 有 些 客户 不 需要 发 布 版 本 2 所 提供 的 设施 ， 因 此 
仍然 保留 发 布 版 本 1。 

3. 发 布 版 本 3 需要 发 布 版 本 2 中 安装 的 数据 文件 ， 没 有 自己 新 的 数据 文件 。 

软件 发 布 人 员 不 能 认为 发 布 版 本 3 所 需要 的 文件 已 经 安装 到 所 有 的 地 点 。 有 些 地 点 可 能 从 发 
布 版 本 1 直接 到 发 布 版 本 3， 跳 过 了 发 布 版 本 2。 有 些 地 点 则 可 能 已 经 根据 具体 情况 对 与 发 布 版 
本 2 有 关 的 数据 文件 做 了 修改 。 因 此 数据 文件 必须 随同 系统 的 发 布 版 本 3 一 起 发 布 和 安装 。 

由 于 发 布 软件 产品 的 新 版 本 会 有 很 高 的 销售 和 包装 成 本 ， 所 以 通常 卖主 们 仅 为 新 平台 或 在 
加 入 重要 的 新 功能 时 才 进 行 发 布 。 然 后 ， 他 们 要 向 用 户 收取 新 软件 的 费用 。 若 已 发 布 的 软件 出 现 
错误 ， 软 件 卖主 会 在 网 上 发 布 补丁 来 修补 已 存在 的 软件 ， 用 户 可 以 从 网 上 下 载 。 

使 用 下 载 的 补丁 的 问题 是 : 许多 客户 可 能 永远 也 发 现 不 了 这 些 问 题 补丁 的 存在 ， 而 且 不 能 
理解 为 什么 需要 安装 。 他 们 只 好 继续 使 用 日 的 有 和 缺陷 的 版 本 ， 这 是 存在 威胁 他 们 业务 的 隐患 的 。 
某 些 情况 下 ， 补 丁 是 为 修补 系统 的 安全 漏洞 设计 的 ， 安 装 补丁 失败 就 意味 着 系统 容易 受到 外 部 
攻击 。 为 了 避免 这 些 问 题 ， 大 众 软件 卖主 ， 比 如 Adobe, Apple 和 微软 ， 通 常 实现 自动 更 新 ， 在 
有 新 的 小 型 发 布 的 时 候 系 统 自动 更 新 。 然 而 ， 对 于 定制 系统 来 说 ， 这 不 起 作用 。 因 为 这 些 系 统 并 
不 存在 于 针对 所 有 客户 的 标准 版 本 中 。 


要 点 


a 配置 管理 是 对 开发 软件 系统 所 做 的 管理 。 在 维护 一 个 系统 时 ， 配 置 管理 团队 的 作用 是 保证 
系统 的 变更 是 在 受 控 状态 下 完成 的 ， 并 且 详 细 记 录 已 经 实现 的 改变 。 

s 主要 配置 管理 过 程 包括 变更 管理 、 版 本 管理 、 系 统 构建 以 及 发 布 管理 。 存 在 能 够 支持 所 有 
这 些 过 程 的 软件 工具 。 l 
u 变更 管理 包括 评估 来 自 系统 客户 和 其 他 信息 持 有 者 的 变更 提议 ， 并 判断 在 系统 新 版 本 中 实 

现 这 些 变更 的 费用 是 否 合适 。 

a 版 本 管理 包括 追踪 软件 组 件 由 于 变更 而 产生 的 不 同 版 本 。 

系统 构建 是 将 系统 组 件 装配 成 一 个 在 目标 计算 机 系统 上 的 可 执行 程序 的 过 程 。 

软件 应 该 频繁 地 重新 构建 ， 在 新 版 本 构建 之 后 立即 进行 测试 。 这 样 可 以 更 容易 察觉 最 后 -一 
次 构建 引入 的 错误 和 问题 

里 系统 的 发 布 包括 可 执行 代码 、 数 据 文件 、 配 置 文件 和 文档 。 发 布 管理 包括 决定 何 时 发 布 一 
个 系统 ， 准 备 好 所 有 待 发 布 的 信息 ， 并 为 每 一 个 系统 发 布 版 本 编制 好 文档 。 
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进一步 阅读 材料 

(Configuration Management Principles and practice》 这 本 书 通俗 易 懂 ， 不 仅 包含 配置 管理 的 标 
准 和 惯常 方法 ， 还 含有 更 适合 现代 快速 软件 开发 过 程 的 方法 (Anne Mette Jonassen Hass, 2002, 
Addison-Wesley ) 。 

(Software Configuration Management Patterns; Kffective Teamwork, Practical Integration》 这 是 一 
本 相对 较 短 ， 容 易 阅 读 的 书 ， 在 配制 管理 实践 方面 尤其 在 对 敏捷 开发 方法 ， 给 了 很 好 的 具体 建议 
(S. P. Berezuk 和 B. Appleton, Addison-Wesley, 2003), 

«High-level Best Practices in Software Configuration Management》， 这 是 篇 网 络 文章 ， 由 一 位 配 
置 管理 工具 提供 商 的 员工 所 写 ， 是 对 于 软件 配置 管理 优秀 行为 的 很 好 的 人 门 介绍 (L Wingerd 
and C. Seiwald, ，2006 ) , http://www. perforce. com/perforce/ papers/bestpractices. html , 

(Agile Configuration Management for Large Organizations》 这 篇 网 络 文章 描述 能 在 敏捷 开发 过 程 中 
使 用 的 配置 管理 实践 ， 特 别 强调 了 如 何 将 这 些 实践 扩展 到 大 项 目 和 大 公司 (P. Schuh, 2007), 
http://www. ibm. com/ developerworks/ rational/library/ maro? / schuh/index. html , 


练习 

25.1 如果 一 个 公司 没有 制定 有 效 的 配置 管理 政策 和 过 程 ， 列 举 $ 种 可 能 出 现 的 问题 。 

25.2 在 变更 管理 过 程 中 使 用 变更 请 求 表格 作为 核心 文件 的 好 处 是 什么 ? 

25.3 ”列举 支持 变更 管理 过 程 工具 应 该 包含 的 6 种 特征 。 

25.4 解释 组 件 的 每 个 版 本 都 必须 唯一 标识 的 原因 。 评 述 使 用 简单 的 基于 版 本 号 的 版 本 标识 模式 的 问题 。 

25.5 设想 如 果 两 个 开发 人 员 同 时 修改 3 个 不 同 组 件 ， 当 他 们 想 要 合并 他 们 所 做 出 得 修改 时 ， 可 能 出 现 什 
么 问题 ? 

25.6 开发 软件 的 团队 现在 越 来 越 多 地 在 不 同 地 点 工作 。 列 举 一 些 能 够 支持 分 布 软件 开发 的 版 本 管理 系统 
的 特征 。 

25.7 列举 在 系统 构建 中 可 能 碰 到 的 问题 。 当 在 主机 上 为 目标 机 器 构建 系统 时 可 能 会 发 生 哪 些 特殊 问题 ? 

25.8 ”关于 系统 构建 ， 解 释 一 下 为 什么 有 时 有 必要 维护 已 经 过 时 的 计算 机 ， 假 设 曾经 在 该 计算 机 上 开发 过 
大 型 软件 系统 ? 

25.9 在 系统 构建 中 一 个 常见 的 问题 是 将 物理 文件 名 包括 在 系统 代码 中 ， 而 文件 名 指出 的 文件 结构 与 目标 
机 器 上 的 文件 结构 不 一 致 。 试 写 出 一 组 程序 设计 者 指南 以 帮助 他 们 避免 这 个 问题 ， 以 及 你 能 够 想到 


的 其 他 系统 构建 中 容易 发 生 的 问题 。 
25.10 ”在 建立 一 个 大 型 软件 系统 的 发 布 版 本 的 过 程 中 ， 工 程 人 员 必须 考虑 哪 5 个 因素 ? 
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目标 

本 章 的 目标 是 介绍 软件 过 程 改 善 ， 这 是 一 种 提升 软件 质量 和 减少 开发 成 本 的 方式 。 读 完 本 
章 ， 我们 将 了 解 以 下 内 容 : 

血 了 解 有 关 将 软件 过 程 改 善 作 为 提升 产品 质量 以 及 软件 过 程 的 效率 和 效果 的 手段 的 基本 

原理 ; 

m 了 解 软 件 过 程 改 善 的 基本 原理 以 及 过 程 改 善 的 循环 过 程 ; 

m 学 会 如 何 使 用 目标 - 问题 - 量度 方法 指导 过 程度 量 ; 

m 介绍 过 程 能 力 和 过 程 成 熟 度 的 概念 ， 以 及 由 SEI 所 提出 的 过 程 改善 的 CMMI 模型 的 一 般 

形式 。 

如 今 ， 工 业界 一 直 都 有 尽 可 能 地 获得 更 便宜 、 更 好 的 软件 的 需求 ， 且 要 求 软件 在 日 益 严格 的 
最 后 期 限 前 交付 。 所 以 大 多 数 软 件 公 司 转 向 通过 改善 软件 过 程 来 提高 产品 质量 ， 降 低 软件 开发 
成 本 ， 及 加 速 它们 的 开发 过 程 。 过 程 改善 就 是 要 充分 了 解 现 有 的 过 程 并 改变 这 些 过 程 ， 实 现 提高 
产品 质量 及 降低 成 本 和 减少 开发 时 间 的 目的 。 

过 程 改 善 和 变更 使 用 两 种 截然 不 同 的 方法 : 

l. 过 程 成 熟 度 方 法 ， 重 点 改善 过 程 和 项 目 管理 以 及 将 优良 的 软件 工程 实践 引进 到 机 构 中 。 
过 程 成 熟 水 平反 映 了 在 机 构 的 软件 开发 过 程 中 采用 的 优良 的 技术 和 管理 实践 的 程度 。 此 方法 的 
主要 目标 是 改善 产品 质量 和 过 程 可 预测 性 。 

2. 敏捷 方法 ， 重 点 是 和 欠 代 开发 和 减少 软件 开发 过 程 的 费用 。 敏 捷 方 法 的 主要 特点 是 功能 的 
快速 交付 和 对 客户 需求 变更 的 快速 反应 。 

这 两 种 方法 各 自 的 拥护 者 都 对 另 一 种 方法 的 益处 持 怀疑 态度 。 过 程 成 熟 度 方法 植 根 于 计划 
驱动 开发 ， 因 为 增加 了 和 编程 不 直接 相关 的 活动 ， 通 常 需要 增加 费用 。 敏 捷 方法 专注 于 正在 开发 
的 代码 并 且 刻 意 使 流程 和 文件 最 少 。 

第 3 章 和 本 书 其 他 一 些 地 方 已 经 讨论 过 敏捷 方法 ， 所 以 本 章 重点 介绍 过 程 管理 和 基于 成 熟 度 
的 过 程 改善 方法 。 这 并 不 代表 作者 更 钟情 于 此 方法 而 不 提倡 敏捷 方法 。 实 际 上 ， 对 于 小 型 和 中 型 
项 目 ， 采 用 敏捷 方法 可 能 是 最 节省 成 本 的 过 程 改 善 策略 。 但 是 对 于 大 型 系统 、 要 求 极 高 的 系统 以 
及 由 在 不 同 公司 的 开发 人 员 所 开发 的 系统 ,管理 问题 通常 是 项 目 遭 遇 问 题 的 原因 。 对 于 业务 庞 
大 的 公司 和 复杂 系统 工程 ， 改 善 过 程 应 该 考虑 基于 成 熟 度 的 方法 。 

正如 第 24 章 所 述 ， 创 建 软件 系统 所 用 的 开发 过 程 影响 系统 的 质量 。 因 此 ， 许 多 人 相信 改善 
软件 开发 过 程 能 提升 软件 质量 。 过 程 改 善 的 这 些 观点 起 源 于 一 个 叫 W. E. Deming 的 美国 工程 师 ， 
他 于 第 二 次 世界 大 战 后 在 日 本 的 工业 界 工作 ， 主 要 从 事 帮 助 改 善 质量 的 工作 。 日 本 的 工业 采用 
连续 性 过 程 改善 (EAI PRA kaizen) 过 程 已 经 有 很 多 年 了 。 该 过 程 对 日 本 产品 的 总 体高 质量 
的 贡献 是 巨大 的 。 

Deming (还 有 其 他 人 ) 提出 了 统计 质量 控制 的 观点 。 它 是 通过 对 产品 缺陷 的 数目 进行 度量 
并 将 之 与 生产 过 程 相 关联 。 其 目标 是 通过 分 析 和 修改 过 程 使 引 和 人 缺陷 的 几率 减少 并 改善 缺陷 检 
测 。 一 旦 缺陷 统计 数目 降低 ， 就 对 过 程 进 行 标 准 化 并 开始 新 一 轮 改 善 活动 。 
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Humphrey (1988) 在 他 的 过 程控 制 的 书 中 写 道 ， 在 软件 工程 中 可 以 使 用 相同 的 技术 。 他 
指出 : 

W. E. Deming 于 第 二 次 世界 大 战 后 在 日 本 工业 界 工作 ， 在 工业 中 使 用 统计 过 程控 制 的 概念 。 
虽然 软件 和 工业 产品 存在 着 很 大 的 不 同 ， 这 个 概念 在 软件 中 使 用 ,会 像 它 在 汽车 、 照 相机 、 手 表 
以 及 钢铁 中 一 样 。 

虽然 它们 有 很 明显 的 相同 点 ， 作 者 不 赞同 Humphrey 所 说 的 能 把 来 自制 造 工程 的 结果 轻松 转 
移 到 软件 工程 中 的 观点 。 在 制造 业 中 ， 过 程 和 产品 之 间 的 关系 是 非常 明显 的 。 制 造 通常 包括 准备 
自动 工具 和 产品 检测 过 程 。 如 果 有 人 在 校准 机 器 的 时 候 出 错 ， 这 会 影响 这 台 机 器 生产 的 所 有 产 
品 。 避 免 在 准备 机 器 的 时 候 发 生 错 误 以 及 引入 更 有 效 的 检测 过 程 可 以 明显 改善 产品 质量 。 

当 产 品 是 无 形 的 ， 或 者 在 某 种 程度 上 依靠 智力 活动 而 难以 自动 化 时 ， 这 种 过 程 质量 /产品 质 
量 之 间 的 关系 就 不 那么 明显 了 。 软 件 质量 不 仅 受制 造 过 程 影响 ， 更 受到 设计 过 程 影响 ， 个 人 技能 
和 经 验 非常 重要 。 有 时 候 ， 所 用 的 过 程 对 产品 质量 而 言 是 最 重要 的 决定 因素 。 但 并 非 都 是 如 此 ， 
对 于 有 创新 的 应 用 来 说 ， 参 与 到 过 程 中 的 人 员 所 起 的 作用 要 比 过 程 重要 得 多 。 

” ”对 于 软件 产品 (或 其 他 智力 产品 ， 如 书籍 、 电 影 等 ， 其 质量 主要 依赖 于 设计 ) 而 言 ， 有 4 
个 因素 能 够 影响 产品 质量 ， 如 图 26-1 所 示 。 

每 种 因素 的 影响 程度 与 项 目的 类 型 和 规模 相 

关 。 对 于 由 多 个 独立 的 子 系统 组 成 的 大 型 系统 来 说 ， 
一 般 是 由 多 个 团队 开发 的 ， 产 品质 量 的 决定 性 因素 
来 自 于 软件 过 程 。 大 型 项 目的 主要 问题 是 集成 、 项 
目 管理 和 沟通 。 在 这 样 的 团队 中 ， 通 常人 员 的 能 力 
和 经 验 是 参差 不 齐 的 ,项目 工期 可 能 有 数 年 之 久 ， 


在 这 么 长 的 时 间 里 ， 甚 至 到 最 后 一 个 “ 老 ” 人 也 没 


留 下 来 。 项 目的 生命 周期 中 开发 团队 的 人 员 可 能 发 
生 完 全 的 变动 。 图 26-1 影响 软件 产品 的 因素 

然而 ， 对 于 只 有 几 个 团队 成 员 的 小 项 目 来 说 ， 开 发 团队 的 人 员 素 质 就 会 比 所 用 的 开发 过 程 
更 重要 了 。 所 以 ， 敏 捷 方 法 宣扬 人 的 重要 性 大 于 使 用 的 开发 过 程 的 重要 性 。 如 果 团 队 有 高 水 平 的 
能 力 和 经 验 ， 产 品 的 质量 也 就 会 高 ， 和 使 用 的 过 程 无 关 。 如 果 团 队 成 员 缺 乏 经 验 也 不 熟练 ， 一 个 
好 的 过 程 可 能 会 限制 灾害 的 发 生 ， 但 是 单 凭 过程 本 身 无 法 带 来 高 品质 的 软件 。 

对 于 小 团队 ， 好 的 开发 技术 就 变 得 特别 重要 。 团 队 不 能 在 琐碎 的 管理 事务 中 耗费 太 多 的 

精力 。 工 程 人 员 把 大 部 分 时 间 用 在 系统 设计 和 编程 上 ， 所 以 好 的 工具 将 极 大 地 影响 他 们 的 
劳动 生产 率 。 对 于 大 型 项 目 ， 一 些 基本 的 开发 技术 对 信息 管理 是 必要 的 ， 而 复杂 的 软件 工具 就 相 
对 不 太 重 要 了 。 团 队 成 员 花 相对 较 少 的 时 间 用 于 开发 活动 ， 较 多 的 时 间 用 在 沟通 和 了 解 系统 其 
他 部 分 上 了 。 但 是 ， 支 持 沟通 的 Web 2.0 工具 ， 比 如 Wikis 和 博客 ， 能 极 大 改善 分 散 的 团队 成 员 
之 间 的 沟通 情况 。 

一 个 项 目 ， 不 管 它 的 人 员 、 过 程 或 者 工具 因素 ， 若 预算 偏 低 ， 或 者 交付 进度 计划 不 现实 ， 产 
品质 量 将 受到 影响 。 一 个 好 的 过 程 要 得 到 有 效 的 实施 需要 配备 适当 的 资源 。 如 果 资 源 不 充足 ， 过 
程 就 不 可 能 有 效 地 进行 。 如 果 资 源 配备 不 适当 ， 那 就 只 有 极 优秀 的 人 员 才 能 使 项 目 顺利 完成 了 。 
要 是 项 目 赤 字 严 重 ， 即 使 再 优秀 的 人 也 无 法 保证 产品 质量 不 受 影响 。 如 果 没 有 足够 的 开发 时 间 ， 
交付 的 软件 可 能 就 会 减少 功能 或 者 降低 可 靠 性 或 性 能 水 平 。 

通常 软件 质量 存在 问题 的 真正 原因 不 是 管理 不 善 、 过 程 不 恰当 或 质量 培训 差 ， 而 是 源 于 机 
构 受 到 的 生存 压力 。 开 发 机 构 为 了 赢得 开发 机 会 ， 故 意 压低 项 目 预 算 或 承诺 快速 交付 系统 。 为 了 
实现 这 些 承诺 ， 开 发 机 构 就 会 制定 不 切实 际 的 开发 进度 表 。 结 果 是 软件 质量 受到 不 利 影响 。 
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26.1 过程 改善 过 程 

第 2 章 介绍 了 软件 过 程 是 一 个 活动 序列 的 总 的 思想 ， 该 序列 的 执行 结果 产生 一 个 软件 系统 。 
前 面 曾 介绍 过 通用 过 程 ， 比 如 瀑布 模型 和 基于 复 用 的 开发 ， 也 讨论 过 最 重要 的 过 程 活动 。 机 构 可 
以 通过 对 这 些 通用 过 程 实例 化 为 自己 的 开发 软件 的 特殊 过 程 。 

在 所 有 的 机 构 中 我 们 都 能 看 到 软件 过 程 的 存在 ， 从 一 个 人 的 公司 到 一 个 大 的 跨国 公司 。 这 
些 过 程 可 以 根据 过 程 的 形式 化 程度 、 所 开发 的 产品 的 类 型 、 机 构 的 规模 等 ， 划 分 为 不 同 的 类 型 。 
不 存在 适用 于 所 有 开发 机 构 或 者 适应 于 某 一 特定 类 型 的 所 有 软件 产品 的 “理想 的 ”或 者 “标准 
的 ”软件 过 程 。 每 个 公司 必须 根据 其 规模 、 背 景 、 员 工 的 技能 、 开 发 的 软件 的 类 型 、 客 户 和 市 
场 需求 以 及 公司 的 文化 开发 自己 的 过 程 。 

因此 ， 过 程 改善 不 仅仅 意味 着 采用 特别 的 方法 或 工具 ,或 者 使 用 一 个 公开 的 、 通 用 的 过 程 。 
虽然 开发 机 构 在 开发 相同 类 型 的 软件 时 明显 地 有 很 多 相同 之 处 , 但 总 是 有 许多 机 构 的 自身 因素 、 
规程 和 标准 在 影响 着 过 程 。 如 果 仅 仅 简单 地 试图 将 某 个 过 程 转变 为 一 个 通用 的 过 程 ， 引 入 过 程 
改善 是 不 会 成 功 的 。 必 须 总 体 考虑 到 本 地 环境 和 文化 ， 以 及 过 程 变 更 提议 所 带 来 的 影响 。 

我 们 还 必须 考虑 我 们 想 要 改善 过 程 的 哪些 方面 。 目 标 可 能 是 改善 软件 质量 ， 因 而 我 们 可 能 
希望 引入 新 的 过 程 活动 ， 以 改变 软件 开发 和 测试 的 方式 。 也 有 可 能 是 想 改善 过 程 本 身 的 一 些 属 
性 ， 这 就 必须 判别 何 种 过 程 属性 对 公司 是 最 重要 的 。 图 26-2 列 出 了 可 以 作为 改善 目标 的 过 程 属 
性 的 一 些 例子 。 








——d 


OR 
过 程 在 多 大 程度 上 做 了 明确 的 定义 , 对 过 程 定义 理解 的 难 易 如 何 
过 程 活动 是 否 有 一 个 清晰 的 结果 , 从 而 使 过 程 的 进展 能 从 外 部 观察 到 
过 程 活动 在 多 大 程度 上 得 到 CASE 工具 的 支持 
所 定义 的 过 程 对 于 从 事 软 件 产品 开发 的 工程 人 员 来 说 是 容易 接受 的 和 可 用 的 吗 
所 设计 的 过 程 中 的 错误 是 否 能 在 其 导致 产品 错误 之 前 得 到 避免 或 者 被 捕获 
过 程 是 否 能 在 无 法 预料 到 的 问题 发 生 时 继续 工作 


过 程 的 进化 是 否 能 反映 机 构 需 求 的 变更 或 者 识别 出 过 程 改善 之 处 
从 给 定 系统 描述 到 移交 系统 的 过 程 有 多 长 
图 262 过程 属性 


很 明显 这 些 属 性 是 相关 联 的 ， 有 时 候 是 正 相 关 ， 而 有 时 候 是 负 相关 。 因 此 ， 可 见 性 得 分 高 的 
过 程 可 能 也 是 容易 理解 的 。 过 程 观察 员 能 够 根据 产生 的 输出 推断 活动 的 存在 。 另 -方面 ， 过 程 可 
见 性 和 速度 成 反比 。 只 有 相关 人 员 产 生 关于 过 程 本 身 的 信息 才能 使 过 程 可 见 。 由 于 生产 这 些 文 
件 要 花 次 时间 ， 这 可 能 会 减 慢 软 件 的 生产 速度 。 

同时 优化 所 有 的 过 程 属性 进行 过 程 改善 是 不 可 能 的 。 例 
如 ， 如 果 目 标 是 快速 的 开发 过 程 ， 那 么 就 必须 降低 过 程 的 可 
见 性 。 如 果 想 要 增加 过 程 的 可 维护 性 ， 就 必须 采用 能 反映 更 
广泛 的 机 构 实践 的 、 且 在 公司 不 同 部 门 使 用 的 流程 和 工具 。 
这 可 能 降低 过 程 的 局 部 可 接受 性 。 工 程 人 员 可 能 引入 了 自己 
的 局 部 流程 和 非 标准 工具 支持 他 们 的 工作 方式 。 因 为 这 些 流 
程 和 工具 富有 成 效 ， 他 们 可 能 并 不 愿意 放弃 这 些 而 支持 标准 
的 过 程 。 

如 图 26-3 所 示 ， 过 程 改善 是 一 个 循环 的 过 程 ， 它 包含 3 图 263 过 程 改 善 周期 
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448 . 第 四 部 分 软件 管理 


TTE: 

1， 过 程度 量 ”对 当前 项 目 或 产品 的 属性 的 度量 。 它 的 目的 是 根据 机 构 对 过 程 改 善 的 目标 来 
改善 这 些 尺 度 。 这 形成 了 一 个 基线 ， 能 够 帮助 判断 过 程 改善 是 否 有 效 。 

2. 过 程 分 析 “对 当前 的 过 程 进行 评估 ， 找 出 过 程 的 缺点 和 瓶颈 。 在 这 一 阶段 经 常 建立 描述 
所 要 开发 的 过 程 的 过 程 模型 《有 时 叫 过 程 地 图 ) 。 分 析 可 能 重点 考虑 过 程 特 征 ， 比 如 快速 性 和 重 
棒 性 。 

3. 过 程 变 更 ”对 已 经 发 现 的 过 程 弱点 提出 解决 问题 的 过 程 变 更 提议 。 执 行 这 些 变 更 并 重新 
开始 收集 有 关 变 更 有 效 性 的 数据 。 

没有 具体 的 有 关 过 程 的 或 有 关 使 用 这 个 过 程 进 行 开发 的 软件 的 数据 ， 就 不 可 能 对 过 程 改善 
的 价值 做 出 评估 。 然 而 ， 启 动 过 程 改 善 过 程 的 公司 可 能 没有 作为 改善 基线 的 可 用 的 过 程 数据 。 因 
此 ， 作 为 变更 的 第 一 个 周期 的 一 部 分 ， 必 须 引 和 过程 活动 去 收集 关于 软件 过 程 的 数据 和 评测 软 
件 产品 的 性 质 。 

过 程 改善 是 一 项 长 期 的 活动 ， 改 善 过程 中 的 每 一 个 阶段 都 可 能 持续 几 个 月 。 同 时 过 程 改 善 
也 是 连续 性 的 活动 ， 不 管 引入 何 种 新 的 过 程 ， 业 务 环境 都 会 发 生 改 变 ， 新 的 过 程 本 身 必 须 不 断 进 
化 从 而 将 这 些 变更 纳 人 考虑 之 中 。 


26.2 过 程度 量 


过 程度 量 是 软件 过 程 的 量化 数据 ， 比 如 用 于 执行 过 程 活动 的 时 间 。 这 样 的 例子 是 ， 我 们 计算 
一 下 开发 程序 测试 案例 所 需要 的 时 间 。Humphrey (1989) 在 他 关于 过 程 改 善 的 书 中 认为 ， 过 程 
度量 和 产品 特性 对 于 过 程 改善 是 非常 关键 的 。Humphrey 也 提出 度量 在 小 规模 、 个 人 过 程 改善 中 
发 挥 着 重要 作用 (Humphrey，1995) ， 因 为 个 人 努力 变 得 更 有 生产 率 。 

过 程度 量 可 以 用 于 评估 是 否 效率 已 经 得 到 了 改善 。 例 如 ， 可 以 对 用 于 测试 的 工作 量 和 时 间 
进行 监控 。 对 测试 过 程 的 有 效 改 善 应 该 能 减少 工作 量 和 /或 测试 时 间 。 不 过 ， 过 程度 量 本 身 不 能 
够 用 于 确定 产品 质量 是 否 有 所 改善 。 产 品质 量 数据 ( 见 第 24 章 ) 也 必须 要 收集 并 与 过 程 活动 相 
关联 。 

能 够 收集 的 过 程 量度 数据 有 3 类 : , 

1. 完成 某 一 特定 的 过 程 所 花 的 时 间 ”这 个 时 间 可 以 是 过 程 总 的 耗费 时 间 ， 也 可 以 是 日 历时 
[B], 或 者 是 个 别 工程 人 员 花 在 过 程 中 的 时 间 ， 等 等 。 

2. 某 个 特定 过 程 所 需要 的 资源 ”资源 可 以 包括 以 人 日 计算 的 总 的 工作 量 、 差 旅费 或 者 是 计 
算 机 资源 等 。 | 

3. 某 个 特定 事件 发 生 的 次 数 ”可 以 监控 到 的 事件 发 生 频 度 的 例子 包括 : 在 代码 检查 时 发 现 
的 缺陷 数量 ， 需 求 变更 请 求 数量 ， 由 于 需求 变更 而 相应 修改 的 程序 代码 行 数 等 。 

前 两 种 度量 类 型 可 以 用 于 发 现 过 程 变更 是 否 提高 了 过 程 的 效率 。 比 如 ， 在 软件 开发 过 程 中 
确定 几 个 点 ， 如 接受 需求 、 体 系 结构 设计 完成 、 完 成 测试 数据 生成 等 。 我 们 就 可 以 度量 从 一 个 点 
到 另 一 个 点 之 间 需 要 花费 的 时 间 和 工作 量 。 度 量 得 到 的 数据 可 以 指示 出 过 程 的 哪些 地 方 需 要 改 
善 。 在 引信 变 更 之 后 ， 从 对 系统 属性 的 度量 中 能 看 出 过 程 变 更 是 否 成 功 减少 了 需要 的 时 间 和 和 
成 本 。 

事件 发 生 数量 的 度量 对 软件 质量 能 产生 更 直接 的 影响 。 举 例 来 说 ， 通 过 改变 程序 审查 过 程 
发 现 了 更 多 的 缺陷 ， 修 复 这 些 缺 陷 必 然 使 产品 质量 得 以 改善 。 当 然 这 需要 得 到 后 续 的 产品 度量 
的 证 实 。 

在 过 程度 量 中 的 一 个 主要 困难 是 弄 清楚 应 该 收集 关于 过 程 的 哪些 信息 以 支持 过 程 改 善 。Ba- 
sili 和 Rombach (1988) 提出 了 他 们 称 之 为 CQM (目标 -问题 -量度 ) 的 范式 ,广泛 应 用 于 软件 
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和 过 程度 量 。Basili 和 Green (1993) 描述 了 如 何在 美国 航空 航天 局 (NASA) 中 一 个 长 期 的 基于 
度量 的 过 程 改 善 项 目 中 使 用 这 个 方法 。 

在 过 程 改善 中 使 用 GOM 范式 〈 见 图 26-4) 帮助 回答 3 个 关键 问题 : 

1. 为 什么 引入 过 程 改 善 ? 

2. 需要 哪些 信息 用 于 识别 和 评估 改善 ? 

3. 需要 哪些 过 程 和 产品 的 度量 以 提供 这 些 信息 ? 


要 达到 的 目标 


要 问 的 问题 


要 度量 的 事情 





图 26-4 CQM 范式 


这 些 问题 直接 和 GOM 范式 中 的 抽象 概念 ( 目标、 问题 、 量 度 ) AX: 

L 目标 ”机 构想 要 达到 什么 目标 。 这 不 一 定 直 接 与 过 程 属性 有 关 ， 而 是 与 过 程 如 何 影响 产 
品 或 机 构 本 身 有 关 。 目 标的 例子 可 能 是 : 一 个 过 程 成 熟 度 的 改善 的 水 平 ( 见 26.5 节 ) ， 更 短 的 
产品 开发 时 间 ， 增 加 的 产品 可 靠 性 等 。 

2. 问题 ”这些 是 对 目标 的 进一步 提炼 ， 找 出 目标 相关 的 特定 范围 的 一 些 不 确定 性 。 一 般 而 
言 ， 一 个 目标 会 有 许多 相关 联 的 问题 需要 我 们 回答 。 和 缩短 产品 开发 时 间 这 个 目标 有 关 的 问题 
例子 可 能 是 :“ 当 前 过 程 的 瓶颈 是 什么 ?”,“ 如 何 缩短 与 客户 商定 产品 需求 的 时 间 ?”,“ 我 们 的 测 
试 中 有 多 少 能 有 效 地 发 现 产 品 缺 陷 ?” 

3 量度 ”这 些 是 需要 收集 的 度量 数据 以 帮助 回答 问题 ， 并 帮助 确定 过 程 改 善 是 否 达到 了 预 
期 的 目标 。 为 了 帮助 回答 上 面 的 问题 ， 我 们 可 能 收集 的 量度 有 : 完成 各 个 过 程 活动 所 需要 的 时 间 
(规范 化 为 特定 的 系统 大 小 所 需要 的 时 间 ) ， 在 客户 和 承包 商 之 间 为 每 个 需求 变更 所 做 的 正式 沟 
通 的 次 数 、 每 次 测试 发 现 的 缺陷 数 。 

GQM 方法 用 于 过 程 改善 的 好 处 是 ， 它 将 机 构 关 注 的 焦点 〈 目 标 ) 和 特别 过 程 关注 的 焦点 
《问题 ) 相 分 离 。 该 方法 为 决定 应 收集 娜 些 数据 提供 了 基础 ， 并 建议 根据 希望 回答 的 问题 用 不 同 
的 方式 分 析 收 集 到 的 数据 。 

COM 方法 已 经 得 到 了 一 定 的 发 展 并 与 SEI 的 能 力 成 熟 度 模型 (Paulk 等 ，1995) 一 起 结合 在 
软件 过 程 改善 的 AMI (分 析 、 度 量 、 改 善 ) 方法 中 。AMI 方法 的 开发 者 提出 了 分 阶段 的 过 程 改 
善 方法 ， 在 机 构 对 过 程 引 入 标准 化 之 后 再 开始 度量 ， 而 不 是 马上 开始 度量 。AMI 手册 (Pulford 
等 ，1996) 提供 了 实现 基于 度量 的 过 程 改善 的 -- 些 指导 原则 和 实践 忠告 。 

如 第 24 章 中 所 提 到 的 ， 解 释 度量 的 确切 含义 有 时 是 个 问题 。 例 如 ， 有 个 软件 已 经 交付 给 外 
部 进行 测试 ， 我 们 要 度量 用 于 修复 该 软件 中 报告 出 来 的 错误 的 平均 时 间 。 这 是 介 于 团队 接收 到 
错误 报告 的 时 刻 和 正式 地 对 这 个 报告 标记 为 “已 清除 ”的 时 刻 之 间 的 一 段 时 间 。 如 果 引 入 新 的 
基于 Web 的 工具 进行 错误 报告 ， 在 使 用 一 段 此 工具 之 后 ， 将 会 发 现 修复 报告 的 错误 所 用 时 间 在 
减少 。 

你 可 能 因而 就 断言 引入 错误 报告 工具 减少 了 修复 错误 的 时 间 。 当 观察 到 这 个 量度 的 变化 时 ， 
总 是 很 容易 将 这 些 变化 归结 于 所 引入 的 过 程 变更 。 但 是 ， 对 改善 做 出 过 于 简单 化 的 假设 是 危险 
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的 。 量 度 的 变化 可 能 是 由 完全 不 同 的 因素 引起 的 ， 比 如 项 目 组 人 员 的 变化 、 项 目 进度 的 变化 或 者 
管理 的 变化 。 也 可 能 是 这 样 的 情况 ， 即 团队 的 做 法 发 生 了 简单 的 改变 ， 因 为 他 们 的 工作 正在 被 度 
量 。 在 错误 报告 工具 这 个 例子 中 ， 观 察 到 的 变化 可 能 会 有 以 下 一 些 原因 : 






Q) 这 程 实 路 的 分 析 
过 程 分 析 的 一 个 方法 是 使 用 调查 问卷 去 发 现在 多 大 程度 上 好 的 软件 工程 实践 在 使 用 。 因 
而 ， 对 过 程 中 的 某 些 阶 段 ， 例 如 需 求 工程 ， 你 可 以 识别 在 公司 中 对 于 正在 开发 的 系统 类 型 哪 
种 实践 是 最 为 合适 的 ， 并 提问 关于 这 些 实践 在 多 大 范围 内 得 到 了 使 用 。 这 是 在 作者 的 关于 需 
求 工程 过 程 改 善 的 书 中 所 建议 的 方法 (Sommerville 和 Sawyer, 1997), 

http://www. SoftwareEngineering-9. com/Web/Prolmp/ goodpractice , html 






l. 新 系统 可 能 减少 了 开销 ， 因 此 有 更 多 的 时 间 用 于 修复 错误 。 这 带 来 了 平均 “错误 修复 ” 
时 间 。 过 程 改善 带 来 了 真 的 不 同 。 

2. 新 系统 可 能 不 能 对 用 于 修复 错误 所 需 时 间 带 来 改观 ， 但 是 却 使 记录 信息 更 加 容易 。 因 此 ， 
使 用 新 系统 能 更 准确 地 度量 错误 修复 时 间 。 修 复 错 误 的 平均 时 间 实 际 并 未 变化 。 

3. 在 引入 新 系统 之 前 的 度量 可 能 是 部 分 通过 对 系统 的 测试 得 到 的 。 容 易 发 现 并 能 够 快速 修 
复 的 错误 已 经 被 修复 了 ， 只 有 “ 难 修复 的 错误 ”还 存在 并 需要 花费 更 长 的 时 间 去 修补 。 但 是 ， 
引入 错误 报告 系统 之 后 ， 度 量 是 在 对 新 系统 测试 之 初 做 出 的 ， 修 复 的 错误 是 易于 修复 的 “简单 
gx", 

4. 测试 团队 的 新 管理 人 员 可 能 指示 团队 成 员 将 用 户 界 面 的 不 一 致 性 作为 错误 来 报告 ， 而 不 
是 像 先前 那样 被 忽略 掉 。 这 表示 将 报告 更 多 能 够 快速 修复 的 “简单 错误 ”。 

度量 是 过 程 和 过 程 变更 的 证 据 生 成 的 方式 。 但 是 必须 在 确定 过 程 变 更 有 效 之 前 ， 加 上 其 他 
关于 过 程 的 信息 一 起 阐述 这 些 证 据 。 但 是 这 些 证 据 需 要 和 过 程 的 其 他 信息 结合 起 来 加 以 解释 ， 
然后 我 们 才能 相信 过 程 变 更 的 有 效 性 。 我 们 应 该 总 是 将 度量 和 变更 的 定性 评估 一 起 使 用 。 这 包 
括 和 参与 过 程 的 人 员 交 谈 ， 听 取 他 们 对 于 这 些 变 更 有 效 性 的 看 法 。 这 不 但 揭示 了 可 能 影响 过 程 
的 其 他 因素 ， 还 揭示 了 开发 团队 在 多 大 程度 上 接受 所 提议 的 变更 ， 以 及 这 些 是 如 何 影 响 实际 开 
发 行为 的 。 


26.3 ”过 程 分 析 


过 程 分 析 是 指 对 过 程 的 研究 ， 帮 助 我 们 理解 过 程 的 关键 特征 以 及 相关 人 员 在 实际 中 是 如 何 
完成 这 些 过 程 的。 图 26-3 中 提出 在 过 程度 量 之 后 进行 过 程 分 析 。 这 是 一 个 简化 说 法 ， 因 为 在 现 
实 中 ， 这 些 活 动 是 交织 在 一 起 的 。 你 需要 进行 分 析 来 了 解 要 度量 什么 和 什么 时 候 进 行 度量 。 我 们 
将 不 可 避免 地 对 要 度量 的 过 程 进 行 更 深层 的 了 解 。 

过 程 分 析 有 许多 密切 相关 的 目标 : 

1. 理解 过 程 中 的 活动 以 及 这 些 活动 之 间 的 关系 。 

2. 理解 过 程 活 动 之 间 的 关系 以 及 理解 所 做 出 的 度量 。 

3. 将 特殊 过 程 或 者 是 你 正在 分 析 的 过 程 和 机 构 中 其 他 地 方 的 差不多 的 过 程 或 者 同类 型 的 一 
个 理想 化 的 过 程 联 系 起 来 。 

在 过 程 分 析 中 ， 我 们 试图 去 理解 过 程 中 发 生 了 什么 。 我 们 要 去 寻找 有 关 过 程 的 问题 和 效率 
低下 的 线索 。 我 们 也 应 该 关心 这 个 过 程 的 使 用 范围 、 用 于 支持 过 程 的 软件 工具 以 及 过 程 是 如 何 
受 机 构 约束 影响 的 。 图 26-5 列 出 了 过 程 分 析 阶 段 可 能 调查 的 过 程 的 一 些 方面 。 


第 26 章 过 程 改善 ， 





过 程 方面 lj — 


是 否 在 整个 机 构 中 对 过 程 进行 了 文档 化 和 标准 化 ? 如 果 没 有 ， 是 否 意 味 着 做 出 的 任何 度 
采用 和 标准 化 量 仅仅 针对 某 个 具体 的 过 程 实例 ? 如 果 过 程 没有 标准 化 ,那么 对 一 个 过 程 做 出 的 变更 就 是 
不 能 转移 到 公司 中 其 他 地 方 相似 的 过 程 中 的 


是 否 有 些 著名 的 好 的 软件 工程 实践 没有 包含 在 过 程 中 ? 为 什么 没有 包含 进来 ”缺少 这 些 














PRATER | 实 路 影响 产品 特性 〈 比 如 交付 的 软件 系统 中 的 候 陷 数 ) 吗 
影响 过 程 设计 和 过 程 执行 方式 的 机 构 约 束 是 什么 ?例如 ， 如 果 过 程 包括 处 理 分 类 的 材料 ， 
机 构 约束 过 程 中 可 能 有 活动 是 检查 有 的 分 类 信息 由 于 要 发 布 给 外 部 机 构 因而 没有 包括 在 任何 材料 中 。 


机 构 的 约束 会 意味 着 有 些 过 程 变更 不 能 进行 
过 程 中 如 何 管理 沟通 ? 沟通 问题 和 引入 的 过 程度 量 是 如 何 关联 的 ? 沟通 问题 是 许多 过 程 



































沟通 的 主要 问题 ， 沟 道 的 疾 颈 经 常 也 是 项 目 延迟 的 原因 
^d 过 程 是 深思 熟 虑 的 吗 〈 比 如 ， 参 与 过 程 的 角色 是 否 明确 地 思考 并 且 讨 论 过程 ， 以 及 如 何 
| 改善 的 )? 有 没有 机 制 让 过 程 的 参与 者 能 够 建议 过 程 改善 
学 习 人 员 是 如 何在 开发 团队 中 学 习 所 使 用 的 软件 过 程 ? 公司 是 否 有 过 程 手册 和 过 程 培 训 项 目 
——i 
软件 工具 支持 哪些 方面 和 不 支持 过 程 的 哪些 方面 ? 对 于 不 支持 的 地 方 ， 有 没有 能 够 以 低 
工具 支持 成 本 部 署 的 工具 对 此 提供 支持 ”对 于 支持 的 地 方 ， 工 具 是 起 作用 的 和 高 元 的 吗 ” 有 更 好 的 
工具 吗 
图 26-5 过程 分 析 的 各 个 方面 
最 常用 的 过 程 分 析 技 术 有 : 


1. 调查 问卷 和 会 谈 向 项 目 中 的 工程 人 员 和 管理 人 员 询 问 实际 过 程 中 执行 的 情况 。 在 对 工 
程 人 员 单 独 会 谈 时 对 调查 问卷 中 的 回答 再 做 进一步 细 化 。 正 如 下 面 要 讨论 的 ， 讨 论 可 以 组 织 成 
围绕 着 软件 过 程 模型 来 进行 。 

2， 深 入 实际 调查 研究 ”深入 实际 调查 研究 〈 见 第 4 章 ) 是 到 现场 观察 过 程 参与 者 的 具体 工 
作 ， 这 可 以 用 来 了 解 软件 开发 作为 一 项 人 的 活动 的 一 些 本 质 。 如 此 分 析 可 以 揭示 无 法 用 调查 问 
卷 和 会 谈 方式 得 到 的 过 程 的 微妙 和 复杂 之 处 。 

每 一 种 方法 都 有 其 优点 和 缺点 。 基 于 调查 问卷 的 分 析 在 找 出 恰当 的 问题 后 很 快 就 会 完成 
不 过 ， 如 果 问 题 蜂 泌 难民 或 问题 本 身 不 恰当 ， 我 们 将 得 到 一 个 不 完全 的 或 错误 的 模型 。 此 外 ， 基 
于 调查 问卷 的 分 析 对 参与 者 来 说 看 起 来 像 是 一 种 评估 或 评价 。 被 询问 的 工程 师 可 能 会 认为 询问 
者 并 不 是 真 的 想 知道 过 程 中 真实 的 一 面 ， 所 以 回答 时 难免 有 投 其 所 好 的 可 能 。 

约见 参与 过 程 的 人 将 比 调 查 问卷 更 加 开放 。 可 以 准备 一 系列 的 问题 而 根据 不 同人 的 反馈 来 
适当 做 出 调整 。 如 果 给 参与 者 机 会 去 讨论 更 宽泛 的 问题 ， 我 们 将 发 现 过 程 参与 者 乐于 谈论 过 程 
的 实际 问题 ， 以 及 在 实际 中 过 程 是 如 何 被 改变 的 ， 等 等 。 

几乎 在 所 有 过 程 中 ， 参 与 的 人 员 都 会 做 出 局 部 的 变更 使 过 程 适 应 本 地 环境 。 深 入 实际 调查 
研究 比 会 谈 更 有 可 能 发 现 使 用 的 真实 的 过 程 。 不 过 ， 这 是 一 个 很 费时 间 和 人 金钱 的 活动 ， 往 往 需要 
持续 数 月 。 它 依赖 于 对 过 程 的 外 部 观察 。 一 个 完整 的 分 析 必须 贯穿 项 目 初始 阶段 至 产品 交付 和 
维护 阶段 整个 过 程 。 对 于 大 型 项 目 ， 可 能 持续 很 多 年 ， 很 明显 针对 完整 的 过 程 ， 深 人 实际 调查 分 
析 就 不 实用 。 深 入 实际 调查 研究 的 分 析 方 法 在 某 个 过 程 片断 需要 深入 了 解 的 情况 下 是 最 有 用 的 。 
一 且 从 访问 材料 中 判断 出 需要 进一步 调查 的 区 域 ， 然 后 做 集中 深入 实际 调查 发 现 过 程 的 细节 。 

在 分 析 过 程 的 时 候 ， 一 般 先 从 定义 过 程 中 的 活动 以 及 这 些 活动 的 输入 输出 的 过 程 模型 开始 。 
模型 可 能 也 包括 过 程 角色 信息 ( 即 负责 执行 活动 的 人 员 或 角色 ) ， 以 及 必须 产生 的 关键 的 交付 文 
档 。 可 以 使 用 非 正式 的 标记 描述 过 程 模型 ， 也 可 以 使 用 更 正式 的 表格 形式 的 标记 方法 ，UML 活 
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动 图 ， 或 者 是 业务 过 程 建 模 标记 ， 比 如 BPMN ( 见 第 19 章 ) 。 本 书 中 使 用 了 大 量 的 过 程 模型 的 实 
例 ， 用 于 描述 软件 过 程 。 

过 程 模型 是 聚焦 在 过 程 中 的 活动 以 及 活动 间 信 息 转 换 的 好 方法 。 这 些 过 程 模型 不 必 是 形式 
化 或 者 完整 的 ， 它 们 的 目的 是 引起 讨论 而 不 是 详细 记录 过 程 。 和 参与 过 程 相关 的 人 员 的 讨论 以 
及 对 过 程 的 观察 通常 组 织 成 围绕 正式 过 程 模 型 的 一 组 问题 去 展开 。 下 面 是 这 些 问题 的 一 些 例子 : 

l. 有 哪些 活动 在 模型 中 没有 ， 但 在 实际 中 发 生 ? 模型 不 可 避免 是 不 完整 的 ， 但 是 不 同 的 人 
定义 不 同 的 缺少 的 活动 ， 这 表示 机 构 当 中 并 未 连续 执行 过 程 。 

2. 模型 中 的 过 程 活动 是 否 有 我 们 认为 效率 低下 的 ? 是 如 何 效率 低下 的 ， 如 何 才能 改进 ? 这 
些 效率 低下 的 活动 是 如 何 影响 已 做 出 的 过 程度 量 的 ? 

3. 出 现 问题 时 会 发 生 什 么 ? 团队 是 否 继续 遵守 模型 中 定义 的 过 程 ， 还 是 放弃 这 些 过 程 并 采 
取 紧 急行 动 ? 如 果 放 弃 这 些 过 程 ， 这 表明 软件 工程 师 不 相信 过 程 足够 好 或 者 过 程 没有 足够 的 灵 
活性 以 处 理 意外 情况 。 

4. 过 程 中 各 个 不 同 阶段 有 些 什么 角色 ? 他 们 如 和 何 交流 ?信息 交流 的 时 候 通 常会 有 什么 瓶颈 ? 

5. 模型 中 显示 的 活动 使 用 什么 工具 支持 ? 它们 是 有 效 的 并 普遍 使 用 的 吗 ? 如 何 改善 工具 
支持 ? 

完成 软件 过 程 分 析 之 后 ， 就 会 对 过 程 以 及 将 来 过 程 改善 的 可 能 性 有 更 深刻 的 理解 。 也 应 该 
理解 过 程 改 善 的 约束 以 及 其 是 如 何 限制 可 能 引进 的 改善 的 范围 。 


过 程 异常 


软件 过 程 是 非常 复杂 的 。 在 机 构 中 定义 好 了 的 过 程 模型 只 意味 着 过 程 的 一 种 理想 状况 ， 而 
没有 考虑 任何 意外 情况 。 事 实 上 ， 项 目 管理 者 每 天 都 会 遇 到 一 些 意 想不到 的 问题 。 一 旦 找到 这 些 
问题 的 解决 办 法 ， 就 必须 动态 地 修改 这 个 “理想 ”的 过 程 模 型 ， 以 解决 这 些 发 现 的 问题 。 一 个 
项 目 管理 者 必须 应 对 的 异常 类 型 有 以 下 几 种 : 

1. 儿 个 主要 成 员 同时 生病 ， 并 人 恰巧 在 关键 项 目 复查 之 际 。 

2. 计算 机 信息 安全 遭 到 严重 破坏 ， 这 意味 着 外 部 通信 无 法 正常 工作 达 数 天 。 

3. 公司 机 构 改 组 使 管理 者 必须 忙于 应 付 机 构 事 务 ， 因 而 影响 了 项 目的 管理 。 

4. 有 未 预料 到 的 新 的 项 目 投标 请 求 ， 一 部 分 精力 必须 从 当前 项 目 转 移 到 这 个 项 目 投标 工 
作 中 。 

一 般 来 说 ， 异 常 的 发 生 总 是 会 以 某 种 方式 影响 和 改变 项 目的 资源 、 预 算 或 进度 。 很 难 预测 所 
有 的 异常 ， 因 而 无 法 将 其 统统 考虑 到 形式 化 过 程 模型 中 去 。 这 就 需要 项 目 管理 者 能 动态 改变 标 
准 过 程 来 应 对 这 些 未 预料 到 的 客观 环境 。 













© rriren 
软件 过 程 建 模 开 始 于 20 世纪 80 年 代 早 期 (Osterweil，1987)， 其 长 期 目标 是 用 过 程 模型 
作为 组 织 和 协调 的 支持 工具 。 过 程 模型 应 该 包含 关于 过 程 活 动 的 信息 、 输 入 输出 、 过 程 中 的 
角色 等 。 人 们 研究 了 多 种 针对 特殊 目的 软件 过 程 建 模 符 号 系统 ， 但 是 它们 基本 都 被 像 BPMN 
或 UML 活动 模型 这 样 的 业务 过 程 建 模 符号 系统 所 取代 了 。 

http ://www. SoftwareEngineering-9. com/Web/ Proclmp/spm. html 


26.4 ”过 程 变更 
过 程 变更 是 指 对 已 经 存在 的 过 程 进行 修改 。 正 如 前 面谈 到 ,我们 可 以 通过 引入 新 的 实 
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践 、 方 法 或 工具 ， 改 变 过 程 活动 的 顺序 ， 从 过 程 中 导出 或 去 除 可 交付 内 容 ， 改 善 沟 通 或 使 
用 新 的 角色 和 责任 等 方法 做 到 这 一 点 。 我 们 需要 为 过 程 改 善 设 定 目标 ， 像 “将 集成 测试 中 
发 现 的 错误 减少 25%”， 这 可 以 驱动 过 程 变更 。 在 变更 实现 后 ,使 用 过 程度 量 来 评估 变更 
的 有 效 性 。 











图 26-6 ”过程 变更 的 过 程 


在 过 程 变更 过 程 中 〈 见 图 26-6) ， 有 5 个 关键 的 步 又 : 

L 改善 识别 ”这 个 阶段 所 关心 的 是 使 用 过 程 分 析 的 结果 来 识别 解决 一 系列 问题 的 方法 ， 包 
括 质量 问题 、 进 度 瓶颈 问题 ， 或 成 本 效率 问题 ， 这 些 是 在 过 程 分 析 中 确定 的 问题 。 通 过 提出 新 的 
过 程 、 过 程 结构 ， 方 法 和 工具 来 解决 过 程 问题 。 比 如 ， 某 个 公司 认为 许多 软件 问题 源 于 需求 问 
题 。 使 用 需求 工程 最 佳 行为 指导 (Sommerville 和 Sawyer，1997) ， 可 以 找 出 各 种 可 能 引入 或 改变 
的 需求 工程 实践 。 

2. 改善 优先 级 排序 ”这 个 阶段 要 得 到 可 能 的 变更 ， 然 后 决定 它们 在 执行 过 程 中 的 优先 级 。 
当 有 很 多 变更 被 识别 出 的 时 候 ， 通 常 不 能 一 次 把 它们 都 引 人 ;， 必须 决定 哪个 更 重要 。 我 们 可 
能 基于 需要 变更 的 特定 的 过 程 领域 、 引 入 变更 的 费用 、 变 更 影响 的 机 构 和 其 他 因素 来 决定 它 
们 的 优先 级 。 比 如 ， 某 公司 可 能 考虑 将 引入 需求 管理 过 程 去 管理 进化 的 需求 作为 最 高 优先 级 
过 程 变更 。 | 

3. 过程 变更 引入 “” 引 人 过 程 变更 就 是 要 加 人 新 的 规程 、 方 法 和 工具 ， 将 它们 集成 进 其 他 的 
过 程 活动 。 在 这 一 过 程 中 有 两 点 非常 重要 ， 一 是 要 有 充足 的 时 间 ， 二 是 要 保证 这 些 变更 不 和 其 他 
的 过 程 活动 以 及 机 构 已 有 的 规程 和 标准 发 生 冲 突 。 这 可 能 包括 学 会 使 用 需求 管理 工具 以 及 设计 
过 程 来 使 用 这 些 工具 。 

4. 过 程 变更 的 培训 如果 不 进行 培训 ， 就 不 可 能 得 到 来 自 过 程 变更 的 全 部 好 处 。 相 关 工 
程 人 员 需 要 理解 提出 的 变更 以 及 如 何 执行 新 的 变更 后 的 过 程 。 机 构 往 往 忽 略 对 过 程 变 更 给 
予 充 分 的 培训 并 急于 进行 ， 结 果 变 更 带 来 的 不 是 产品 质量 的 提高 而 是 变 得 更 差 。 在 需求 管 
理 的 情况 下 ,培训 可 能 包括 : 讨论 需求 管理 的 价值 ， 过 程 活动 的 解释 ， 对 已 选择 的 工具 的 
介绍 。 | 

5. 变更 微调 ”变更 不 可 能 一 引 人 就 立竿见影 。 需 要 有 一 个 调整 阶段 ， 其 间 会 有 一 些小 的 问 
题 出 现 ， 也 会 有 一 个 对 过 程 不 断 修改 并 执行 的 迭代 过 程 。 这 个 调整 阶段 应 该 持续 几 个 月 的 时 间 ， 
直到 开发 工程 师 能 对 新 过 程 愉悦 接受 为 止 。 

通常 同时 引入 太 多 的 变更 是 不 明智 的 。 引 和信 太 多 变更 除了 会 带 来 培训 的 困难 外 ， 还 难以 评 
估 每 个 变更 的 效果 。 过 程 变 更 一 经 引 人 ， 通 过 进一步 的 分 析 来 识别 过 程 中 的 问题 ， 提 出 改进 等 ， 
改善 过 程 能 反复 地 进行 。 

除了 评估 变更 后 的 过 程 有 效 性 的 困难 外 ， 还 有 如 下 两 个 过 程 变更 必须 面 对 的 主要 困难 ， 

1 拒绝 变更 ”团队 成 员 或 者 项 目 管理 者 可 能 拒绝 引入 过 程 变更 ， 提 出 变更 不 起 作用 的 理由 ， 
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或 者 延迟 引入 变更 。 有 些 情况 下 ， 他 们 故意 妨碍 过 程 变更 并 且 举 出 数据 说 明 提 议 的 过 程 变更 
无 效 。 

2. 变更 坚持 ”虽然 可 能 在 开始 阶段 引 人 过 程 变更 , 但 往往 在 短 时 间 后 就 会 放弃 过 程 革 新 ， 
过 程 回 复 到 之 前 的 状态 。 

拒绝 变更 的 人 员 可 能 来 自 变 更 过 程 涉 及 的 项 目 管理 者 和 工程 人 员 。 项 目 管理 人 员 通 常 拒绝 
过 程 变更 是 因为 任何 变革 都 带 有 未 知 的 风险 。 过 程 变 更 的 目标 可 能 是 加 快 软件 的 生产 率 或 者 减 
少 软 件 的 缺陷 。 但 是 这 些 过 程 变更 总 是 有 无 效 的 风险 ， 或 者 引进 变更 需要 的 时 间 比 节省 的 时 间 
还 要 长 。 对 项 目 管理 人 员 的 评判 是 根据 项 目 是 否 能 按时 并 按 预 算 生产 软件 。 因 此 ， 管 理 人 员 更 喜 
欢 效率 低 但 可 预测 的 过 程 ， 而 不 喜欢 虽然 能 给 机 构 带 来 益处 但 可 能 也 会 带 来 短期 风险 的 优化 
过 程 。 

工程 人 员 因 为 类 似 原因 或 者 因为 他 们 将 这 些 过 程 视 为 对 他 们 专业 性 的 威胁 也 可 能 拒绝 引 人 
新 过 程 。 也 就 是 说 ， 他 们 可 能 认为 新 的 预定 义 过 程 使 他 们 失去 更 多 的 自主 性 ， 并 且 使 得 他 们 的 技 
能 和 经 验 的 价值 受到 低估 。 他 们 可 能 认为 新 过 程 将 意味 着 需要 的 人 员 减 少 ， 他 们 可 能 失去 工作 。 
工程 人 员 因 此 不 愿意 学 习 新 技能 、 工 具 或 者 工作 方式 。 

作为 一 个 管理 者 ， 要 善于 观察 所 在 团队 中 队员 的 感受 。 在 变更 过 程 中 ， 我 们 必须 使 用 各 种 方 
法 来 激励 我 们 的 队员 ， 了 解 他 们 的 顾 虚 ， 鼓 励 他 们 参与 计划 新 的 过 程 。 通 过 让 他 们 成 为 过 程 变更 
的 信息 持 有 者 ， 我 们 会 发 现 他 们 更 愿意 让 变更 进行 下 去 。 业 务 过 程 再 工程 ( Hammer，1990，; 
Ould, 1995) 是 20 世纪 90 年 代 的 一 个 潮流 ， 它 要 引 人 彻 底 的 过 程 变更 ， 最 后 以 完全 的 失败 而 告 
终 ， 因 为 它 没有 将 所 涉及 的 人 的 正当 关注 考虑 在 内 。 

管理 者 会 担心 过 程 变 更 会 给 项 目 进 度 和 成 本 带 来 不 利 影响 ,为 了 解决 这 种 忧虑 ， 必 须 增 加 
项 目 预算 用 于 变更 引起 的 额外 开销 和 延迟 。 必 须 以 现实 态度 对 待 变更 的 短期 益处 。 变 更 不 可 能 
带 来 大 范围 的 、 立 即 的 改善 。 过 程 变更 的 好 处 是 长 期 的 ， 而 不 是 短期 的 。 所 以 必须 在 多 个 项 目 中 
共同 支持 过 程 变更 。 

引入 变更 不 久 后 便 放弃 是 个 常见 问题 。 提 出 变更 的 人 坚信 变更 会 带 来 改善 。 他 会 努力 
工作 保证 变更 有 效 ， 人 们 能 接受 新 的 过 程 。 然 而 ， 一 旦 “坚信 者 ”离开 ， 他 的 位 置 可 能 被 
某 些 不 那么 愿意 把 力气 花 在 新 过 程 上 的 人 所 替代 。 相 关 人 员 可 能 因此 回复 到 之 前 的 工作 方 
式 。 如 果 引 进 的 过 程 还 未 普遍 采用 ， 过 程 变 更 的 所 有 好 处 还 未 完全 显现 时 ， 这 特别 容易 
发 生 。 

为 了 克服 变更 难于 坚持 的 问题 ，CMMI 模型 《将 在 26.5 节 中 讨论 ) 强烈 建议 过 程 变更 制度 
化 。 这 表示 过 程 变更 不 依赖 于 个 人 ， 变 更 成 为 了 公司 标准 实践 的 一 部 分 ， 并 获得 公司 范围 的 支持 
和 培训 。 


26.5 CMMI 过 程 改善 框架 


美国 的 软件 工程 学 会 (SED 是 一 个 致力 于 改善 美国 软件 工业 能 力 的 机 构 。 在 20 世纪 80 年 
代 中 期 ，SEI 启动 了 对 承包 商 能 力 评估 方法 的 研究 。 他 们 特别 关注 由 国防 部 出 资 的 软件 项 目的 承 
包 商 。 该 项 能 力 评估 研究 工作 的 成 果 是 SEI 的 软件 能 力 成 熟 度 模型 (CMM) (Paulk &&, 1993; 
Paulk 等 ，1995 ) 。 该 模型 过 动 了 软件 工程 界 ， 使 之 重视 并 认真 对 待 过 程 改 善 工作 。 软 件 CMM 之 
后 出 现 了 一 系列 的 能 力 成 熟 度 模型 ， 包 括 人 的 能 力 成 熟 度 模型 (P-CMM) (Curtis 等 ，2001) ， 以 
及 系统 工程 能 力 模型 (Bate, 1995), - 

其 他 机 构 也 开发 了 能 旋 成 熟 度 模 型 。 能 力 评估 和 过 程 改善 的 SPICE 方法 (Paulk 和 Konrad, 
1994) 要 比 CMM 水 平 更 有 柔性 。 它 包括 与 SEI 相似 的 成 熟 度 水 平 ， 不 同 的 是 它 还 识别 打破 这 些 
水 平 界 限 的 一 些 过 程 ， 如 客户 - 供应 商 过 程 。 当 成 熟 度 水 平 在 增长 时 ， 这 些 横 切 过 程 的 性 能 必须 
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也 得 到 改善 。 

20 世纪 90 年 代 的 Bootstrap 项 目的 目标 是 扩展 和 修改 SEI 成 熟 度 模型 ， 使 之 适应 更 多 的 公 
司 。Bootstrap 模型 (Haase 等 , 1994; Kuvaa 等 , 1994) 使 用 SEI 成 熟 度 水 平 ( 见 26.5.1 节 ), "E 
也 提出 了 一 个 基础 过 程 模型 (基于 欧洲 航天 局 使 用 的 模型 ) ， 作 为 局 部 过 程 定 义 的 起 点 。 cuu 
括 一 个 开发 全 公司 范围 的 质量 系统 的 准则 以 支持 过 程 改 善 。 

在 试图 集成 已 经 开发 的 过 多 的 基于 过 程 成 熟 度 概念 的 能 力 模型 (包括 自己 的 模型 ) H, SEI 
着 手 进行 一 个 新 的 关于 开发 一 个 集成 的 能 力 模型 (CMMI) 的 项 目 。CMMI 框架 代替 了 软件 和 系 
统 工程 的 CMM ， 并 集成 了 其 他 的 能 力 成 熟 度 模型 。 它 有 两 个 实例 ， 一 个 是 阶段 性 的 ， 一 个 是 连 
续 性 的 ， 并 且 解 决 某 些 在 软件 CMM 中 报告 出 来 的 弱点 。 

CMMI 模型 (Ahem 等 ，2001; Chrissis 等 ，2007) 目标 是 成 为 过 程 改 善 的 框架 ， 能 广泛 适用 
于 多 种 企业 。 它 的 阶段 性 版 本 是 与 软件 CMM 一 致 的 ， 并 人 允许 评估 机 构 的 系统 开发 和 管理 过 程 且 
赋予 从 1 ~5 的 成 熟 度 水 平 。 它 的 连续 版 本 允许 过 程 成 熟 度 的 细 粒 度 的 分 类 。 此 模型 提供 一 种 方 
法 将 22 个 过 程 域 CLE 26-7) 分 为 从 0 ~5 六 个 等 级 。 

CMMI 模型 十 分 复杂 (EF 1000 页 的 描述 ) ， 这 里 将 它 做 了 重大 简化 以 方便 讨论 。 主 要 模型 
组 件 如 下 : 

l. 一 组 过 程 域 。 过 程 域 和 软件 过 程 活动 有 关 。CMMI 识别 22 个 与 软件 过 程 能 力 和 改善 
相关 的 过 程 域 。 它 们 在 连续 的 CMMI 模型 中 被 分 成 4 组。 这 些 组 和 相关 的 过 程 域 在 图 26-7 
中 列 出 。 

2. 一 些 目标 。 目 标 是 对 一 个 机 构 要 达到 的 期 望 状态 的 抽象 描述 。CMMI 有 与 每 个 过 程 域 相关 
的 特定 目标 ， 并 定义 了 每 个 域 的 期 望 状态 。 它 也 定义 了 将 把 好 的 实践 制度 化 相关 联 的 通用 目标 。 
图 26-8 给 出 了 CMMI 的 特定 和 通用 的 目标 的 例子 。 

3. 一 组 好 的 实践 。 实 践 是 对 达到 目标 的 方法 的 描述 。 在 过 程 域 中 与 每 个 目标 相关 联 的 有 几 
个 特定 的 和 通用 的 实践 。 建 议 的 实践 的 例子 在 图 26-9 中 给 出 。 然 而 ，CMMI 认识 到 ， 目标 比 达 到 
目标 的 方法 更 重要 。 机 构 可 以 使 用 任何 可 以 达到 CMMI 的 目标 的 实践 途径 ， 他 们 不 必 采 用 CMMI 
的 建议 实践 。 












过 程 域 


机 构 过 程 定义 (OPD) 
机 构 过 程 焦点 (OPF) 
机 构 培 训 (OT) 

机 构 过 程 性 能 (OPP) 
SLR ARB (OID) 
项 目 规划 (PP) 

项 目 监控 (PMC) 
供应 商 协议 管理 (SAM) 
集成 项 目 管理 (IPM) 
风险 管理 (RSKM) 
量化 项 目 管理 (QPM) 




























H 标 
当 项 目 执行 或 者 结果 严重 偏离 
计划 的 时 候 纠正 行动 设法 停止 
项 目的 实际 执行 和 进程 根据 项 
目 计划 得 到 监控 














项 目 监控 中 的 特殊 目标 













项 目 监控 中 的 特殊 目标 






技术 解决 方案 (TS) 
产品 集成 (PI) 
检验 (VER) 
有 效 性 验证 (VAL) 
配置 管理 (CM) 
过 程 和 产品 质量 保证 (PPQA) 
DIC 
DAR) 
原因 分 析 和 解决 方案 (CAR) 过 程 被 制度 化 为 已 定义 的 过 程 | 普通 目标 


图 26-7 CMMI 中 的 过 程 域 E 26-8 CMMI 中 特定 和 通用 目标 实例 












需求 得 到 分 析 和 有 效 性 验证 ,| 。 
所 需要 的 功能 的 定义 得 以 完成 | 下 发 中 的 特殊 目标 


缺陷 和 其 他 问题 的 根本 原因 得 | 原因 分 析 和 解决 方案 中 
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| 目标 . ET 
| 需求 得 到 分 析 和 有 效 竹 验证 ,| 系统 地 分 析 导出 的 需求 ， 以 确保 它们 是 必要 和 充分 的 


所 需 的 功能 得 到 定义 
利用 多 种 适当 技术 验证 需求 以 确保 得 到 的 产品 能 够 在 用 户 环境 中 按照 用 户 所 
期 待 的 方式 执行 


最 系统 荫 定 杀 隐 和 其他 问题 的 | 为 分 析 阶 段 选择 关键 起 陷 和 其 他 问题 
对 所 选择 的 缺陷 和 其 他 问题 执行 原因 分 析 并 提出 解决 它们 的 行动 
ETRE HE TEE A) 建立 和 维持 对 规划 和 执行 需求 开发 过 程 的 机 构 策略 


赋予 关于 下 面 这 些 方面 的 责任 和 权力 ， 即 执行 过 程 、 开 发 工作 产品 、 为 需求 
开发 过 程 提供 服务 






































图 26-9 CMMI 中 目标 和 相关 的 实践 


通用 目标 和 实践 不 是 技术 性 的 而 是 与 好 的 实践 制度 化 相关 联 的 。 因 此 ， 它 意味 着 什么 是 依 
赖 于 机 构 的 成 熟 度 的 。 在 成 熟 度 发 展 的 早期 阶段 ， 制 度 化 可 能 意味 着 保证 计划 的 建立 和 过 程 的 
定义 面向 公司 中 所 有 的 软件 开发 。 然 而 ， 对 于 一 个 拥有 更 成 熟 的 和 先进 过 程 的 机 构 ， 制 度 化 可 能 
意味 着 在 整个 机 构 中 使 用 统计 的 和 其 他 的 量化 技术 引入 过 程控 制 。 

CMMI 评估 是 要 对 机 构 中 的 过 程 进行 检查 ， 并 对 这 些 过 程 或 过 程 域 给 出 评级 。 对 每 个 过 程 域 
的 成 熟 度 水 平 采用 6 级 尺度 进行 度量 。 他 们 的 观点 是 过 程 越 成 熟 ， 过 程 就 越 优良 。 这 个 6 级 过 程 
域 的 水 平 的 指派 是 : 

L 不 完整 ”与 过 程 域 关 联 的 至 少 一 个 特定 目标 没有 得 到 满足 。 这 个 水 平 上 没有 通用 目标 ， 
因为 对 一 个 不 完整 的 过 程 的 制度 化 是 没有 意义 的 。 

2 已 执行 ”与 过 程 域 关 联 的 目标 都 已 经 满足 ， 对 所 有 的 过 程 、 所 执行 的 工作 范围 显 式 地 设 
定 出 来 并 和 团队 成 员 沟通 。 

3. 已 管理 ”在 这 个 水 平 上 ， 与 过 程 域 关联 的 目标 都 能 达到 ， 定 义 每 个 过 程 应 该 在 什么 时 间 
使 用 的 机 构 策略 是 到 位 的 。 这 里 必须 有 文档 化 的 项 目 计划 ， 以 定义 项 目 目标 。 资 源 管理 和 过 程 监 
控 程 序 必须 要 在 整个 机 构 中 就 绪 。 

4. 已 定义 ”在 这 个 水 平 上 ， 焦 点 是 对 过 程 的 机 构 标 准 化 和 部 署 。 每 个 项 目 都 有 一 个 受到 管 
理 的 过 程 ， 此 过 程 是 对 已 定义 的 机 构 过 程 集 合 中 的 过 程 根据 项 目 需求 调整 得 到 的 。 必 须 收集 过 
程 资产 和 过 程度 量 ， 并 将 之 用 于 将 来 的 过 程 改 善 中 。 

5. 已 量化 管理 ”在 这 个 水 平 上 ， 机 构 要 负责 使 用 统计 和 其 他 量化 方法 来 控制 子 过 程 。 即 收 
集 到 的 过 程 和 产品 度量 必须 使 用 到 过 程 管理 中 来 。 

6. 优化 ”在 这 个 最 高 水 平 上 ， 机 构 必 须 使 用 过 程 和 产品 度量 来 驱动 过 程 疏 善 。 必 须要 对 趋 
势 加 以 分 析 并 且 对 过 程 加 以 调整 来 适应 变更 的 业务 需要 。 

e a LAT A FEAR MAGA, UR EE FASEB, IEREBCUUEdAUU RE 
述 。 这 些 水 乎 是 递 进 的 ， 从 最 低层 的 显 式 的 过 程 描述 ， 经 过 过 程 的 标准 化 ， 再 到 最 高 层 的 由 过 程 
度量 和 软件 驱动 的 过 程 变更 和 改善 。 为 改善 其 过 程 ， 人 下放 和 四 于 对 其 业 务 相关 的 过 程 税 
提高 成 熟 度 水 平 。 


26.5.1 ”分 阶段 的 CMMI 模型 
分 阶段 的 CMMI 模型 和 软件 能 力 成 熟 度 模型 (CMM) 模型 类 似 , 它 提供 了 一 种 方法 ,评估 
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机 构 过 程 能 力 并 分 为 5 个 等 级 。 它 规定 了 在 每 一 级 中 必须 要 达到 的 目标 。 通 过 在 每 一 级 上 实现 的 
工作 ， 从 模型 的 较 低 的 级 别 向 较 高 级 别 的 移动 ， 逐 步 达到 过 程 改 善 。 

分 阶段 CMMI 模型 的 五 级 如 图 26-10 所 示 。 它 们 对 应 连续 模型 1 ~5 的 能 力 水 平 。 分 阶段 的 
CMMI 模型 和 连续 CMMI 模型 的 主要 区 别 在 于 ， 分 阶段 模型 用 于 评估 机 构 整 体能 力 ， 而 连续 模型 
度量 的 是 机 构 内 部 的 特别 过 程 域 的 成 熟 度 。 

每 个 成 熟 度 水 平 都 有 相关 的 一 组 过 程 域 和 通用 目标 。 这 些 反映 了 优良 的 软件 工程 和 管理 实 
践 以 及 过 程 改善 的 制度 化 。 较 低 的 成 熟 度 水 平 可 以 通过 引入 好 的 实践 达到 ， 但 是 ， 更 高 的 水 平 就 
需要 进行 过 程度 量 和 改善 方 可 达到 。 

例如 ， 与 第 二 级 (已 管理 级 ) 相关 的 模型 中 所 定义 的 过 程 域 是 ， 

1 需求 管理 管理 项 目的 产品 和 产品 组 件 的 需求 ， 并 且 发 现在 这 些 需求 和 项 目 规划 及 工作 
产品 之 间 的 不 一 致 性 。 

2. 项 自 规划 ”建立 和 维护 定义 项 目 活动 的 计划 。 

3. 项 目 监控 提供 对 项 目 进 展 的 了 解 ， 这 样 当 项 目 较 之 规划 明显 有 偏差 时 能 采取 适当 的 纠 
正 行动 。 

4. 供应 商 协议 管理 ”管理 来 自 项 目 外 部 供应 商 的 产品 和 服务 ， 这 些 是 有 正式 协议 的 。 

5. 度量 和 分 析 ”开发 和 维持 用 于 支持 对 管理 信息 的 需要 的 度量 能 力 。 

6. 过程 和 产品 质量 保证 ”为 员工 和 管理 层 提供 对 过 程 及 相关 工作 产品 的 一 个 客观 洞察 力 。 

7. 配置 管理 ”使 用 配置 识别 、 配 置 控 制 、 配 置 状 况 记 账 和 配置 审计 来 建立 和 维护 工作 产品 
的 完整 性 。 





图 26-10 CMMI 阶段 成 熟 度 模型 

除了 这 些 特 定 的 实践 ， 在 CMMI 模型 的 第 二 级 上 运作 的 机 构 应 该 已 经 达到 了 将 每 个 过 程 制度 
化 为 已 管理 过 程 这 样 的 通用 目标 。 机 构 实践 的 例子 ， 与 项 目 规划 相关 的 能 将 项 目 规划 过 程 变 成 
已 管理 过 程 的 有 : 

a 为 规划 和 执行 项 目 规划 过 程 建立 和 维护 机 构 策 略 。 

n 为 执行 项 目 管理 过 程 、 研 制 工作 产品 和 对 过 程 提供 服务 等 提供 充足 的 资源 。 

m 按照 计划 监控 项 目 规划 过 程 ， 并 采取 适当 的 纠正 行动 。 

与 高 层 管理 一 道 对 项 目 规划 过 程 的 活动 、 状 况 和 结果 进行 复查 并 解决 出 现 的 问题 。 

分 阶段 CMMI 的 优势 是 它 与 20 世纪 80 年 代 提 出 的 软件 成 熟 度 模型 兼容 。 许 多 公司 明白 这 个 
模型 并 且 致 力 于 使 用 这 个 过 程 改善 模型 。 因 此 他 们 能 直接 从 成 熟 度 模型 转移 到 分 阶段 CMMI 模 
型 。 另 外 ， 分 阶段 模型 为 机 构 定义 了 明确 的 改善 途径 。 它 们 能 从 第 二 级 到 第 三 级 ， 如 此 等 等 。 
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然而 ， 分 阶段 模型 (以 及 软件 CMM). 的 缺点 是 它 的 指定 特性 。 每 个 成 熟 度 水 平 有 其 自己 的 
目标 和 实践 。 分 阶段 模型 假设 在 转移 到 另 一 个 水 平 之 前 当 水 平 的 所 有 的 目标 和 行为 都 已 经 实现 。 
然而 ,机 构 的 环境 可 能 是 这 样 : 更 恰当 的 做 法 是 在 低 水 平实 践 完 成 之 前 去 实现 更 高 级 水 平 的 目 
标 和 实践 。 如 果 机 构 这 样 做 ， 成 熟 度 评估 会 对 它 的 能 力 给 出 错误 印象 。 


26.5.2 连续 CMMI 模型 


连续 成 熟 度 模型 不 根据 离散 等 级 来 分 类 机 构 。 而 是 一 种 考虑 单个 或 一 组 实践 以 及 评估 每 个 
过 程 组 中 好 的 实践 的 使 用 的 一 种 细 粒 度 模 型 。 因 此 ， 成 熟 度 评估 不 是 一 个 单个 的 值 ， 而 是 一 组 
值 ， 能 为 每 个 过 程 或 一 组 过 程 给 出 机 构 的 成 熟 度 。 

连续 CMMI 模型 对 过 程 域 的 分 级 如 图 26-7 
所 示 ， 为 每 个 过 程 域 赋值 一 个 0 ~5 级 的 能 力 
评价 (如 先前 介绍 的 )。 通 常 ， 机 构 对 不 同 的 。 供应 商 协 议 管理 
过 程 域 在 不 同 的 成 熟 度 水 平 上 运作 。 因 此 ， 连 


项 目 监控 





续 CMMI 评估 的 结果 是 一 个 能 力 概况 ， 表 现 每 WREE] pog, door | 
个 过 程 域 和 与 他 关联 的 能 力 评 估 。 图 26-11 给 mea, of ob ob tod 
出 了 在 不 同 能 力 水 平 上 过 程 的 能 力 概况 的 一 个 ' a 
片段 。 例 如 ， 它 说 明了 配置 管理 中 成 熟 度 的 水 FREE 000 00 0| 
平 高 ， 但 风险 管理 的 成 熟 度 很 低 。 公 司 可 能 研 wel of foot bo 
制 实际 的 能 力 概况 和 目标 的 能 力 概况 ， 目 标 概 MEM 
况 反 映 的 是 它们 希望 达到 的 过 程 域 的 能 力 级 。 有 效 性 又 证 | 000g 

连续 模型 的 主要 优点 是 公司 可 以 根据 他 们 RE 
的 愿望 和 需求 来 挑选 和 最 终 决 定 要 改善 的 过 E2621 过 程 能 力 概况 


程 。 以 作者 的 经 验 ， 不同 的 机 构 类 型 有 不 同 的 

过 程 改 善 需求 。 例 如 ， 开 发 航空 软件 的 公司 可 能 关注 系统 描述 、 配 置 管理 和 有 效 性 验证 ， 而 Web 
软件 开发 公司 可 能 更 多 的 是 关心 面向 客户 的 过 程 。 阶 段 性 模型 要 求 公 司 轮流 关注 不 同 的 阶段 。 
相反 ， 连 续 CMMI 允许 自主 性 和 灵活 性 ， 仍 然 允许 公司 在 CMMI 改善 框架 中 运行 。 


要 点 


m 过 程 改善 的 目标 是 更 高 的 产品 质量 ， 降 低 的 过 程 开 销 ， 以 及 更 快 的 软件 交付 速度 。 

和 过 程 改善 的 主要 方法 有 : 目标 是 减少 过 程 成 本 的 敏捷 方法 ; 基于 更 好 的 过 程 管 理 和 好 的 软 
件 工程 实践 的 使 用 的 成 熟 度 的 方法 。 

里 过 程 改善 循环 包括 过 程度 量 、 过 程 分 析 、 建 模 和 过 程 变更 。 

m 过 程 模型 ， 展 现 了 过 程 中 的 活动 以 及 它们 和 软件 产品 的 关系 ， 用 于 过 程 描述 。 但 是 在 实际 
中 ， 参 与 软件 开发 的 工程 人 员 总 是 调整 模型 使 其 适应 他 们 的 具体 环境 。 

m 应 该 用 度量 来 对 所 使 用 的 软件 过 程 的 特殊 间 题 做 出 回答 。 这 些 问题 应 该 基于 机 构 的 改善 
目标 。 

m 在 度量 过 程 中 使 用 的 3 类 过 程 量度 是 : 时 间 量 度 ， 资 源 使 用 量度 ， 以 及 事件 量度 。 

= CMMI 成 熟 度 模型 是 一 种 综合 的 过 程 改 善 模型 ， 既 支持 阶段 性 过 程 改善 也 支持 连续 性 过 程 
改善 。 

m CMMI 模型 中 的 过 程 改善 是 基于 达到 一 组 关于 好 的 软件 工程 实践 的 目标 ， 并 且 为 达到 这 些 
上 且 标 去 描述 、 标 准 化 和 控制 所 采用 的 实践 。CMMI 模型 包括 建议 使 用 的 实践 ， 但 并 不 强制 
使 用 。 
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进一步 阅读 材料 

(Can you trust software capability evaluations) 这 是 一 篇 对 能 力 评估 主题 持 怀疑 态度 的 文章 ， 评 估 
了 公司 的 过 程 成 熟 度 ， 并 讨论 为 什么 评估 不 会 给 出 一 个 机 构成 熟 度 的 正确 反映 CE. O Connell and 
H. Saiedian , IEEE Computer, 33 (2), February 2000), http://dkx. doi. org/10. 1109/2. 820036 。 

(Software Process Improvement; Results and Experience from the field》 这 本 书 收集 了 几 个 小 型 
和 和 中 型 挪威 公司 的 过 程 改 善 的 案例 研究 。 同 时 也 包括 了 对 过 程 改 善 的 一 般 问题 的 很 好 的 介绍 
(Conradi, R. , Dybaá, T. , Sjóberg, D. , Ulsund, t. (eds.), Springer, 2006), 

《CMMI: Guidelines for Process Integration and Product Improvement, 2nd edition) CMMI 的 综 
述 。CMMI 很 庞大 而 且 复杂 ， 实 际 可 能 不 容易 读 和 理解 。 这 本 书 通过 加 和 人 一 些 轶 事 和 历史 材料 ， 
使 其 更 易 阅 读 。 但 有 时 候 仍然 很 难 理解 (M. B. Chrissis, M. Konrad, S. Shrum, Addison - Wesley， 
2007), 


练习 

26.1 软件 过 程 改善 的 敏捷 方法 和 过 程 成 熟 度 方法 的 关键 不 同 是 什么 ? 

26.2 在 什么 情况 下 产品 质量 可 能 决定 于 开发 团队 的 质量 ? 举例 说 明 什么 类 型 的 软件 产品 特别 依赖 于 个 人 
的 天 赋 和 能 力 。 

28.3 ” 试 列举 3 个 为 支持 机 构 过 程 改善 项 目 而 开发 的 专门 软件 工具 。 

26.4 假设 机 构 的 过 程 改 善 目 标 是 增加 可 复 用 组 件 的 数量 ， 这 些 组 件 是 在 开发 过 程 中 自行 生产 出 来 的 。 指 
出 在 上 述 情况 下 GQM 范式 可 能 存在 的 3 个 问题 。 

26.5 描述 3 种 类 型 的 软件 过 程 量度 ， 这 些 量度 可 以 收集 用 来 作为 过 程 改 善 的 一 部 分 。 给 出 每 一 种 类 型 量 
度 的 例子 。 

26.6 为 评估 和 排序 过 程 变更 建议 设计 一 个 过 程 。 将 这 个 过 程 用 一 个 过 程 模型 记录 下 来 ， 该 模型 能 说 明 在 
这 个 过 程 中 的 角色 。 必 须 使 用 UML 活动 图 或 者 BPMN 描述 过 程 。 

26.7 ”给 出 过 程 改善 框架 Cil CMMI 内 所 使 用 的 ) 中 所 入 的 过 程 评估 和 改善 方法 的 两 个 优点 和 两 个 缺点 。 

26.8 在 什么 情况 下 你 会 建议 使 用 CMMI 的 阶段 性 表示 ? 

26.9 ”使 用 过 程 成 熟 度 模型 ， 专 注 于 要 达到 的 目标 而 不 是 引入 的 好 的 实践 ， 这 有 什么 优点 和 缺点 。 

26.10 ”车 过 程 改善 程序 包括 度量 人 在 过 程 中 的 工作 和 引入 变更 到 过 程 中 ,那么 它 是 否 有 内 在 的 不 人 道 性 ? 
对 过 程 改善 程序 会 发 生 哪 些 抵触 行为 ”为 什么 ? 
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AR od X 


abstract data type (抽象 数据 类 型 )， 一 种 由 操作 而 不 是 表示 定义 的 类 型 。 其 表示 是 私有 的 ， 
只 能 由 定义 它 的 操作 访问 。 

activity (PERT) chart (活动 图 )。 项 目 管理 者 用 来 显示 完成 的 任务 间 的 依赖 关系 的 图 。 图 
显示 了 任务 、 预 期 完成 的 时 间 和 任务 间 的 依赖 关系 。 关 键 路 径 是 在 活动 图 中 最 长 的 路 径 (根据 
完成 任务 需要 的 时 间 )。 关 键 路 径 定 义 了 完成 项 目 需 要 的 最 短 时 间 。 

Ada (Ada 语言 )。 一 种 程序 语言 ， 是 20 世纪 80 年 代为 美国 国防 部 开发 军用 软件 而 开发 的 作 
为 一 种 标准 的 语言 。 它 基于 对 20 世纪 70 年 代 的 程序 语言 的 研究 ， 包 括 类 似 于 抽象 数据 类 型 和 并 
发 性 的 概念 。 它 仍然 应 用 于 大 型 复杂 的 军事 和 航天 系统 。 

agile manifesto ( 敏捷 宣言 ) 。 一 组 原理 ， 封 装 了 人 敏捷 软件 开发 方法 背后 的 思想 。 

agile methods 《人 敏捷 方法 ) 。 适 合 于 快速 软件 交付 的 软件 开发 方法 。 软 件 以 增 量 式 开发 和 交 
付 ， 过 程 文档 和 管理 手续 减 到 最 小 。 开 发 集中 在 代码 本 身上 ， 而 不 是 那些 支持 文档 上 。 

algorithmic cost modelling 〈 算 法 成 本 建 模 ) 。 一 种 软件 成 本 估算 的 方法 ， 由 公式 估算 项 目 成 
本 。 公 式 中 的 参数 是 项 目 和 软件 本 身 的 属性 。 

application family (应 用 族 ) 。 一 组 软件 应 用 程序 ， 有 共有 的 体系 结构 和 通用 的 功能 。 这 些 
应 用 能 够 通过 修改 组 件 和 程序 参数 来 适应 特殊 客户 的 需求 。 

application framework (应 用 框架 ) 。 针 对 某 些 特殊 领域 的 一 种 通用 结构 ,构成 一 系列 应 用 
的 基础 。 应 用 框架 通常 实现 为 一 组 具体 的 和 抽象 的 类 ， 这些 类 通过 特 化 和 实例 化 来 创建 一 个 
应 用 。 

Application Program Interface (API) (应 用 程序 接口 )。 一 种 接口 ， 通 常 被 指定 为 一 组 操 
作 ， 这 些 操 作 由 应 用 程序 定义 ,允许 访问 到 程序 提供 的 功能 。 这 就 意味 着 其 他 程序 能 够 直接 调用 
此 功能 ， 而 不 仅仅 是 通过 用 户 接 口 访问 这 些 功 能 。 

architectural pattern (style) (体系 结构 模式 (风格 ))。 软 件 体系 结构 的 一 种 抽象 描述 ， 这 
是 经 过 无 数 次 不 同 软件 系统 的 尝试 和 测试 过 的 。 模 式 描述 包括 使 用 模式 最 适合 的 场合 以 及 体系 
结构 中 的 组 件 组 成 的 信息 。 . 

aspect-oriented software development (面向 方面 的 软件 开发 ) 。 一 种 软件 开发 的 方法 ， 它 结合 
生产 式 和 基于 组 件 的 开发 方法 。 找 出 程序 中 的 横 切 关注 点 ， 这 些 关注 点 的 实现 被 定义 为 方面 。 方 面 
包括 它们 要 在 何 处 整合 人 程序 的 信息 ， 然 后 程序 编织 器 将 这 些 方面 编织 到 程序 中 合适 的 地 方 。 

aspect weavyer〈 方 面 编织 器 ) 。 这 是 一 个 程序 ， 总 是 作为 编译 系统 的 一 部 分 存在 。 编 译 系 统 
处 理 面 向 方面 的 程序 并 修改 代码 以 在 指定 的 程序 位 置 包含 进 已 定义 的 方面 。 

availability (可 用 性 ) 。 在 有 请 求 的 时 候 系统 能 提供 服务 。 可 用 性 通常 以 小 数 来 表示 ， 因 此 
0. 999 的 可 用 性 的 意义 是 系统 能 够 在 1000 次 请 求 中 成 功 提 供 999 次 服务 。 

bar chart (条 形 图 ) 。 项 目 管理 者 用 来 显示 项 目 任 务 、 任 务 关 联 的 进度 和 影响 这 两 项 指标 的 
人 员 的 图 。 图 中 显示 了 任务 开始 和 结束 的 日 期 还 有 紧 卡 时 间 线 的 人 员 分 配 。 

BEA。 是 美国 的 一 个 ERP 系统 的 卖主 。 

black -box testing ( 黑 盒 测试 )。 一 种 测试 方法 ,测试 人 员 不 访问 系统 或 其 组 件 的 源 代码 。 测 
试 从 系统 描述 中 导出 。 
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BPMN, Business Process Modeling Notation。 定 义工 作 流 的 符号 系统 。 

brownfield software development。 在 多 个 现 有 系统 环境 中 的 软件 开发 。 这 些 现 有 系统 必须 与 
待 开发 的 系统 集成 在 一 起 。 

C (C 语言 )。 一 种 程序 语言 ， 最 初 是 开发 用 来 帮助 实现 Unix 系统 的 。C 语言 是 一 种 相对 低 
级 的 系统 实现 语言 ， 允 许 访问 系统 硬件 ， 并 且 可 以 被 编译 为 高 效 代码 。C 语言 广泛 应 用 于 低级 系 
AE ACER AG IET Ko 

C++ (C++ 语言 ) 。 一 种 面向 对 象 的 程序 语言 ， 是 C 语言 的 超 集 。 

C#。 一 种 面向 对 象 的 编程 语言 。 由 微软 公司 所 开发 。 它 与 C ++ 有 很 多 共同 之 处 ， 但 是 又 包 
含 了 允许 更 多 的 编译 时 类 型 检查 的 特征 。 

CASE (Computer-Aided Software Engineering， 计 算 机 辅助 软件 工程 ) 。 使 用 自动 化 支持 的 软 
件 开 发 过 程 。 

CASE tool (CASE 工具 ) 。 一 种 软件 工具 ， 例 如 设计 编辑 器 或 程序 调试 器 ， 用 来 支持 软件 开 
发 过 程 中 的 活动 。 

CASE workbench (CASE 工作 台 ) 。 一 个 集成 的 CASE 工具 集 ， 一 起 工作 来 支持 主要 过 程 活 
动 (比如 ,软件 设计 或 者 配置 管理 等 ) 。 

change management ( 变更 管理 ) 。 这 是 一 个 对 提议 的 软件 系统 进行 变更 的 记录 、 检 查 、 分 
析 、 估 计 和 实现 的 过 程 。 

class diagram (类 图 ) 。 这 是 UML 的 一 种 图 的 类 型 ， 描 述 系统 中 对 象 类 以 及 它们 之 间 的 关系 。 

client-server architecture (客户 -服务 器 体系 结构 )。 一 种 分 布 式 系统 的 体系 结构 模型 ， 系 
统 功能 通过 服务 器 提供 的 一 组 服务 实现 。 使 用 服务 的 客户 计算 机 可 以 访问 这 些 功能 。 这 种 方法 
的 几 种 变形 使 用 多 个 服务 器 ， 例 如 三 层 的 客户 - 服务 器 体系 结构 。 

cleanroom software engineering ( 净 室 软件 工程 )。 软 件 开 发 的 一 种 方法 ， 其 目标 是 避免 将 
错误 导 人 软件 (类 似 于 半导体 制作 中 用 的 净 室 )。 这 个 过 程 包括 形式 化 的 软件 描述 ， 从 描述 向 程 
序 的 结构 化 转换 ， 开 发 程序 正确 性 证 明和 统计 程序 测试 。 

cloud computing ( 云 计 算 ) 。 这 是 一 种 提供 计算 和 应 用 服务 的 方式 ， 通 过 因特网 使 用 由 外 部 
提供 商 所 提供 的 云 一 样 多 的 服务 器 集群 。“ 云 ”的 实现 是 使 用 大 量 的 商用 计算 机 和 虚拟 技术 ， 以 
便 有 效 地 使 用 这 些 系 统 。 

CMM。 软 件 工程 研究 所 (The Software Engineering Institute) 的 能 力 成 熟 度 模型 ( Capability 
Maturity Model) 。 它 用 于 评估 机 构 的 软件 开发 成 熟 度 水 平 。 目 前 已 经 被 CMMI 所 代替 ， 但 还 是 得 
到 广泛 的 使 用 。 

CMMI (CMMI) 。 一 种 集成 的 过 程 能 力 成 熟 度 建 模 方法 ， 采 用 了 良好 的 软件 工程 实践 和 集 
成 质量 管理 。 它 支持 离散 的 和 连续 的 成 熟 度 建 模 ， 并 且 集 成 了 系统 和 软件 工程 过 程 成 熟 度 模型 。 

code of ethics and professional practice (道德 规范 和 职业 准则 ) 。 一 系列 指导 方针 ， 它 规定 
了 软件 工程 师 应 有 的 道德 规范 和 职业 行为 。 由 主要 的 美国 专业 协会 【美国 计算 机 学 会 ( ACM) 
和 电气 和 电子 工程 师 协会 (IEEE)] 制定 ， 制 定 了 8 个 方面 的 道德 规范 行为 ， 包 括 : 公众 、 客 户 
和 雇主 、 产 品 、 评 价 、 管 理 、 同 事 、 职 业 和 自身 。 

COM + (COM + ) 。 为 微软 平台 而 设计 的 组 件 模型 和 辅助 中 间 件 ， 已 被 .NET 代替 。 

Common Request Broker Architecture ( CORBA， 通 用 对 象 请 求 代理 体系 结构 ) 。 由 对 象 管 
理 组 织 (OMG) 提议 的 一 系列 标准 ， 定 义 了 一 种 分 布 对 象 模 型 和 对 象 通 信 ， 在 分 布 式 系统 开发 
中 有 影响 力 ， 但 现在 已 很 少 使 用 。 

component (组 件 )。 软 件 中 可 部 署 的 独立 的 单元 ， 完 全 由 一 组 接口 定义 和 访问 。 

component model (组 件 模 型 )。 一 系列 关于 组 件 实现 、 文 档 化 和 部 署 的 标准 。 和 覆盖 了 可 能 
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由 组 件 提供 的 特殊 接口 、 组 件 命名 、 组 件 互 操作 和 组 件 合 成 。 组 件 模 型 提供 了 支持 组 件 执行 的 中 
间 件 的 基础 。 

Component-Based Software Engineering (CBSE, 基于 组 件 的 软件 工程 )。 通 过 独立 、 可 部 壬 
的 组 件 (与 组 件 模 型 并 用 ) 集成 来 开发 软件 的 方法 。 

configuration item (配置 项 )。 计 算 机 可 读 的 单元 ， 比 如 一 个 文档 或 一 个 源 代码 文件 ， 为 变 
更 提供 服务 。 这 里 的 变更 必须 得 到 配置 管理 系统 的 控制 。 

configuration management (配置 管理 ) 。 管 理 进 化 中 软件 产品 的 变更 的 过 程 。 配 置 管理 包括 
配置 规划 、 版 本 管理 、 系 统 构建 和 变更 管理 。 

COnstructive COst MOdelling (COCOMO ， 构 造 性 成 本 建 模 。 这 是 一 组 算法 成 本 估算 模型 ， 
最 先 提出 于 20 世纪 80 年 代 早 期 ， 此 后 几经 修改 和 更 新 以 反映 新 的 技术 和 变化 了 的 软件 工程 
实践 。 

CORBA component model (CORBA 组 件 模型 )。 为 用 在 CORBA 平台 上 而 设计 的 组 件 模型 。 

control metric (控制 量度 ) 。 一 种 软件 量度 ， 允 许 管理 者 基于 软件 过 程 的 信息 或 者 是 基于 软 
件 产品 的 信息 做 出 规划 决策 。 绝 大 多 数控 制 量度 是 过 程 量 度 。 

critical system ( 要 求 极 高 的 系统 ) 。 指 一 旦 失败 了 会 造成 经 济 、 人 员 或 环境 上 的 巨大 损失 的 
计算 机 系统 。 

CVS, 一 种 广泛 使 用 的 开放 源码 的 软件 工具 ， 用 于 版 本 管理 。 

data processing system (数据 处 理 系统 ) 。 是 一 个 用 来 处 理 大 量 的 结构 化 数据 的 系统 。 这 些 
系统 通常 按照 输入 - 处 理 -输出 的 模式 处 理 批量 数据 。 账 单 和 发 票 系统 以 及 付款 系统 是 数据 处 
理 系 统 的 实例 。 

denial of service attack (拒绝 服务 攻击 )。 对 基于 Web 的 软件 系统 的 一 种 攻击 ， 试 图 使 系统 
过 载 使 之 不 能 提供 正常 的 服务 给 用 户 。 

dependability ( 可 依赖 性 ) 。 系 统 的 可 依赖 性 是 一 个 综合 考虑 系统 的 安全 性 、 可 靠 性 、 可 用 
性 、 信 息 安全 性 和 其 他 属性 的 总 的 属性 。 系 统 的 可 依赖 性 反映 了 用 户 可 以 信赖 系 统 的 程度 。 

dependability case ( 可 依赖 性 论据 ) 。 是 一 种 结构 化 文档 ， 用 来 备份 系统 开发 者 关于 系统 可 
依赖 性 的 声明 。 

dependability requirement ( 可 依赖 性 需求 ) 。 一 种 有 助 于 达到 所 要 求 的 系统 可 依赖 性 的 系统 
需求 。 非 功能 性 的 可 依赖 性 需求 指定 了 可 依赖 性 属性 值 ， 功能 性 可 依赖 性 需求 是 指 避 免 系统 缺 
陷 和 失败 、 检 测 ， 容 错 或 从 系统 缺陷 和 失败 中 恢复 的 功能 性 需求 。 

design pattern (设计 模式 ) 。 一 种 实验 证 明 效果 良好 的 解决 某 个 一 般 问 题 的 方法 ， 它 捕捉 经 
验 和 好 的 实践 ， 以 一 种 可 以 复 用 的 形式 表示 ， 是 一 种 能 以 很 多 种 方法 实例 化 的 抽象 描述 。 

distributed system (分 布 式 系 统 ) 。 一 种 软件 系统 ， 其 软件 子 系统 或 组 件 在 不 同 的 处 理 器 上 
执行 。 

domain (领域 ) 。 软 件 所 拥有 的 特定 问题 或 所 使 用 的 业务 范围 。 领 域 的 例子 包括 ， SERERE: 
制 、 业 务 数 据 处 理 、 电 信 交 换 。 

domain model ( 领域 模型 ) 。 领 域 抽象 的 定义 ， 如 政策 、 规 程 、 对 象 、 关 系 、 事 件 。 它 可 以 
作为 某 些 问题 领域 的 知识 基础 。 

DSDM。 这 是 Dynamic System Development Method 的 缩写 。 据 说 是 首 个 敏捷 开发 方法 之 一 。 

embedded system ( I AVR 55) 。 嵌 人 在 硬件 设备 当中 的 软件 系统 〈 例 如 ， 在 手机 里 的 软件 
系统 )。 财 人 式 系统 总 是 实时 系统 ， 所 以 必须 对 环境 中 的 事件 做 出 及 时 的 响应 。 

emergent property 〈 总 体 特 性 ) 。 只 有 当 系 统 的 所 有 组 件 集成 在 一 起 创建 系统 时 才 会 显现 的 
一 种 属性 。 
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Enterprise Java Beans (EJB， 企 业 Java beans) 。 一 种 基于 Java 的 组 件 模型 。 

Enterprise Resource Planning (ERP) system (企业 资源 规划 系统 )。 这 是 一 种 大 型 软件 系 
统 ， 具 有 广泛 的 支持 工商 企业 运行 的 能 力 ， 并 提供 在 各 种 能 力 间 共享 信息 的 手段 。 例如， 一 个 
ERP 系统 可 能 包括 对 供应 链 管理 、 制 造 和 分 发 的 支持 。 对 每 个 使 用 系统 的 单位 需要 根据 它们 的 
需求 进行 相应 配置 。 

ethnography (深入 实际 ) 。 可 以 用 于 引出 需求 和 分 析 的 一 种 观察 技术 。 深 和 人 实际 是 要 沉浸 在 
用 户 环境 中 ， 且 能 观察 用 户 每 天 工作 的 习惯 。 软 件 支持 的 需求 可 以 由 这 些 观察 中 推导 出 来 。 

event-based systems (基于 事件 的 系统 )。 是 这 样 一 种 系统 ， 其 操作 控制 取决 于 系统 环境 中 
产生 的 事件 。 绝 大 多 数 实时 系统 是 基于 事件 的 系统 。 

Extreme Programming ( XP， 极限 编 程 )。 是 一 种 敏捷 的 软件 开发 方法 ,包括 很 多 实践 ， 如 
基于 情景 的 需求 ， 测 试 优先 的 开发 和 配对 编程 。. 

fault avoidance ( 缺陷 避免 ) 。 以 这 种 方式 开发 软件 ， 就 不 会 向 软件 中 引入 缺陷 。 

fault detection (缺陷 检测 ) 。 使 用 过 程 和 运行 时 检查 在 导致 系统 失败 前 检测 和 除去 缺陷 。 

fault tolerance (£5) 。 在 执行 过 程 中 即使 缺陷 发 生 ， 系 统 仍 能 继续 工作 的 能 力 。 

formal methods 〈 形 式 化 方法 ) 。 是 一 种 软件 开发 的 方法 ， 通 过 使 用 形式 化 数学 结构 如 谓词 
和 集合 对 软件 建 模 。 严 格 的 变换 将 模型 转换 为 代码 。 绝 大 多 数 情形 是 在 要 求 极 高 的 系统 的 描述 
和 开发 中 使 用 它 。 

Gantt chart ( 甘 特 图 ) 。 条 形 图 的 另 一 个 名 称 。 

incremental development ( 增 量 式 开 发 ) 。 软 件 开 发 的 一 种 方法 ， 软 件 的 交付 和 部 署 以 增 量 的 
形式 进行 。 

information hiding (信息 隐藏 )。 利 用 编程 语言 结构 隐藏 数据 结构 的 表示 并 控制 对 这 些 结构 
的 外 部 访问 。 

inspection ( 审查 ) 。 参 见 program inspection, 

insulin pump (KARKR) 。 一 种 软件 控制 的 医疗 设备 ， 对 糖尿 病 患 者 注射 控制 剂量 的 胰岛 
素 。 在 本 书 中 作为 案例 。 

interface (接口 )。 对 软件 组 件 所 关联 的 属性 和 操作 的 描述 。 接 口 用 作 访 问 组 件 功能 的 手段 。 

ISO 9000 (ISO 9000 标准 )。 是 由 国际 标准 化 组 织 制定 的 一 套 质 量 管理 过 程 的 标准 。ISO 
9001 是 非常 适用 于 软件 开发 的 ISO 标准 。 这 些 标准 也 能 用 于 组 织 内 的 质量 管理 过 程 保证 。 

iterative development ( 迭代 式 开发 ) 。 软 件 开发 的 一 种 方式 ， 软 件 描 述 、 设 计 、 编 码 和 测试 
是 交替 进行 的 。 

J2EE。 是 Java 2 Platform Enterprise Edition 的 缩写 。 这 是 一 个 复杂 的 中 间 件 系统 ， 用 于 支持 
用 Java 所 做 的 基于 组 件 的 Web 应 用 开发 。 它 包括 用 于 Java 组件、API 以 及 服务 的 组 件 模型 。 

Java (Java 语言 )。 一 种 面向 对 象 的 编程 语言 ， 是 由 SUN 公司 设计 的 ,目的 是 使 软件 具有 平 
台独 立 性 。 

language processing system (语言 处 理 系统 ) 。 一 个 把 一 种 语言 翻译 解释 为 另 一 种 语言 的 系 
统 。 例 如 ， 编 译 器 就 是 一 个 语言 处 理 系统 ， 它 把 程序 源 代 码 编译 成 目标 代码 。 

legacy system (遗留 系统 )。 一 个 社会 技术 系统 ， 它 对 某 个 机 构 是 有 用 的 或 必需 的 ， 但 却 是 
用 过 时 的 技术 或 方法 开发 的 。 由 于 遗留 系统 通常 完成 关键 的 业务 功能 ， 不 得 不 对 它们 进行 维护 。 

Lehman’ s laws (Lehman 定律 ) 。 对 影响 复杂 软件 系统 进化 的 因素 的 一 组 假设 。 

Maintenance (维护) 。 系 统 投 入 运行 后 ， 对 其 进行 变更 的 过 程 。 

make 。 最 早 的 系统 构建 工具 之 一 , 广泛 使 用 于 Unix/Linux 系统 中 。 

Mean Time To Failure (MTTF ,平均 失败 时 间 )。 在 可 靠 性 描述 中 使 用 ， 指 已 发 现 的 系统 失 
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败 的 平均 时 间 。 

MHC-PMS。 心 理 健康 护理 病人 管理 系统 的 缩写 。 在 本 书 中 作为 案例 。 

middleware ( 中间 件 )。 分 布 式 系统 中 的 基础 软件 ，. 它 负责 管理 系统 中 分 布 式 实体 和 系统 数 
据 库 的 交互 。 中 间 件 的 例子 有 对 象 请 求 代理 和 事务 管理 系统 。 

model checking (模型 检查 )。 一 种 静态 检验 方法 ， 系 统 的 状态 模型 得 到 全 面 分 析 以 便 发 现 不 
可 到 达 的 状态 。 

Model-Driven Architecture (MDA ,模型 驱动 体系 结构 )。 基 于 构建 一 组 系统 模型 的 软件 开 
发 方法 。 它 可 以 自动 地 或 半自动 化 地 执行 并 生成 一 个 可 执行 的 系统 。 

Model-Driven Development (MDD ， 模 型 驱动 的 开发 ) 。 围 绕 UML 表达 的 系统 模型 的 软件 工 
程 方法 ， 这 里 采用 UML 描述 的 模型 ， 有 别 于 用 编程 语言 代码 描述 的 任何 模型 。 它 拓展 了 MDA, 
考虑 除了 开发 之 外 的 活动 ， 例 如 需求 工程 和 测试 。 

NET。 一 种 规模 非常 大 的 用 于 开发 微软 Windows 应 用 的 框架 。 包 括 : 定义 Windows 系统 中 
组 件 的 标准 ， 相 关 的 支持 组 件 执行 的 中 间 件 的 组 件 模型 。 

object class (32825) 。 对 象 类 定义 对 象 的 属性 和 操作 方法 。 对 象 的 创建 是 在 运行 时 通过 实 
例 化 类 定义 完成 的 。 在 一 些 面向 对 象 的 语言 中 ， 对 象 类 名 可 以 用 作 类 型 名 。 

Object Constraint Language ( OCL， 对 象 约束 语言 )。 作 为 UML 一 部 分 的 一 种 语言 ， 用 于 定 
义 谓词 ， 这 些 谓词 应 用 于 UML 模型 中 的 对 象 类 和 交互 。 使 用 OCL 来 定义 组 件 是 模型 驱动 开发 的 
一 部 分 。 

Object Management Group (OMG， 对 象 管理 组 (COMG)), 由 许多 公司 组 成 的 组 织 ， 目 的 
是 制定 面向 对 象 开发 的 标准 。 由 OMG 提出 的 标准 有 CORBA, UML 和 MDA 等 。 

object model ( 对象 模 型 ) 。 软 件 系统 的 一 种 模型 ， 在 这 种 模型 中 系统 是 由 一 组 对 象 类 和 这 些 
类 之 间 的 关系 构成 的 。 存 在 对 象 模型 的 多 种 不 同 的 观点 ， 例如 状态 观点 和 序列 观点 。 

Object-Oriented (OO) development (面向 对 象 的 开发 ) 。 软 件 开 发 的 一 种 方法 ， 系统 中 的 基 
本 抽象 是 独立 的 对 象 。 在 描述 、 设 计 和 开发 中 使 用 相同 类 型 的 抽象 。 

open source (开源 )。 一 种 软件 开发 方法 ， 系 统 源 代码 公开 ， 鼓励 外 部 用 户 参与 到 系统 的 开 
发 当中 来 。 

pair programming (结对 编程 ) 。 这 是 一 种 开发 情形 ， 程序 员 两 两 配对 工作 而 不 是 各 于 各 的 。 
它 是 极限 编程 的 基本 部 分 。 

peer-to-peer system (对 等 系统 ) 。 一 种 分 布 式 系 统 ， 其 中 客户 机 和 服务 器 没有 明确 的 区 分 。 
系统 中 的 计算 机 既 可 作为 客户 机 ， 也 可 作为 服务 器 。 对 等 系统 的 应 用 包括 : 文件 共享 ， 即 时 消 
息 ， 合 作 支 持 系统 。 

People Capability Maturity Model (P-CMM， 人 员 能 力 成 熟 度 模型 ) 。 一 种 过 程 成熟 度 模型 ， 
反映 一 个 机 构 如 何 能 有 效 地 管理 机 构 中 员工 技能 、 培训 和 经 验 的 模型 。 

predictor metric (预言 者 量度 ) 。 是 一 种 软件 量度 ， 用 于 作为 预测 的 基础 。 Br EN 
测 软 件 系统 的 特性 ， 包 括 可 靠 性 或 可 维护 性 。 

Probability Of Failure On Demand ( POFOD, ， 请 求 失败 的 概率 ) 。 是 一 种 可 靠 性 量度 ， 基 于 
对 软件 系统 在 要 求 得 到 服务 时 失败 的 可 能 性 的 量度 。 

process improvement (过程 改善 ) 。 一 种 对 过 程 进行 变更 的 过 程 ， 目的 是 使 过 程 更 加 可 预测 
或 提高 它 的 输出 质量 。 例 如 ， 如 果 你 的 目标 是 减少 交付 软件 的 缺陷 数目 ， 你 可 以 通过 增加 新 的 有 
效 性 验证 活动 来 改善 过 程 。 

process maturity model (过 程 成 熟 度 模型 ) 。 关于 过 程 适 应 于 过 程 改 善 所 包括 的 好 的 实践 、 
反映 和 度量 能 力 的 程度 。 


466 . 术语 表 


process model ( 过 程 模型 ) 。 是 过 程 的 抽象 表示 ， 过 程 模型 可 能 来 自 于 不 同 的 观点 ， 可 以 展 
示 一 个 过 程 中 涉及 的 活动 、 过 程 的 产物 、 对 过 程 所 施加 的 约束 和 在 过 程 中 人 员 扮 演 的 角色 。 

program evolution dynamics (程序 进化 的 动态 特性 )。 对 进化 中 软件 系统 变更 方法 的 研究 。 
据 称 Lehman 律 控制 着 程序 进化 的 动态 特性 。 

program generator (程序 生成 器 ) 。 能 从 高 层 抽象 描述 产生 另 一 个 程序 的 程序 ， 生 成 器 可 以 
嵌入 知识 ， 这 些 知识 可 以 在 每 一 次 产生 活动 中 重用 。 

program inspection (程序 审查 ) 。 一 种 评审 过 程 ， 是 指 有 一 组 检查 人 员 一 行 一 行 地 审查 程 
序 ， 目的 是 发 现 程序 中 的 错误 。 程 序 审查 通常 有 一 个 常见 编程 错误 清单 。 

Python。 是 一 种 编程 语言 ， 具 有 动态 类 型 ， 特 别 适合 于 开发 基于 Web 的 系统 。 

Quality Assurance (QA， 质 量 保证 ) 。 定 义 怎 样 得 到 软件 质量 和 怎样 使 得 开发 机 构 知 道 软件 
具有 所 要 求 的 质量 水 平 的 总 体 过 程 。 

quality plan (质量 规划 ) 。 定 义 所 需要 使 用 的 质量 过 程 和 步骤 的 计划 。 包 括 为 产品 和 过 程 选 
择 或 实例 化 标准 并 定义 最 为 重要 的 系统 质量 属性 。 

Rapid Application Development ( RAD， 快 速 应 用 开发 )。 一 种 目的 是 快速 交付 软件 的 软件 
开发 方法 。 它 通常 包括 使 用 数据 库 编 程 和 开发 支持 工具 ， 如 屏幕 和 报表 生成 器 。 

Rate Of Occurrence Of Failure ( ROCOF， 失 败 出 现 率 )。 在 某 个 给 定时 间 有 段 观察 系统 的 失败 
次 数 得 到 的 可 靠 性 量度 。 

Rational Unified Process ( RUP, Rational 统一 过 程 ) 。 一 种 通用 软件 过 程 模 型 ， 将 软件 开发 
表示 为 一 个 4 个 阶段 的 迭代 活动 ， 这 4 个 阶段 是 开端 、 细 化 、 构 造 、 转 换 。 开 端 阶段 为 系统 建立 
一 个 业务 案例 ， 细 化 阶段 定义 体系 结构 ， 构造 阶段 实现 系统 ， 而 转换 阶段 在 客户 环境 中 部 署 
系统 。 

real-time system (实时 系统 )。 一 个 必须 对 外 界 事件 进行 实时 反应 的 系统 。 系 统 的 正确 性 不 
只 是 依赖 于 它 做 什么 同时 依赖 于 它 的 反应 速度 。 实 时 系统 通常 组 织 成 一 组 协作 的 连续 的 进程 。 

reengineering (再 工程 )。 修 改 软件 系统 使 它 更 容易 理解 和 改变 。 青 工程 通常 包括 : 对 软件 
和 数据 的 重 构 建 和 组 织 ， 程 序 简化 和 文档 化 。 

reengineering, business process (再 工程 ， 业 务 过 程 )。 变 更 业务 过 程 使 之 满足 一 些 新 的 机 构 
目标 ， 例 如 降低 成 本 和 能 更 快速 地 执行 。 

reference architecture (参考 体系 结构 )。 一 种 通用 系统 体系 结构 ， 这 是 一 种 理想 化 的 体系 结 
构 ， 包 含 系统 可 能 包括 的 所 有 特征 。 这 是 一 种 使 设计 者 了 解 此 类 系统 一 般 结 构 的 方法 ， 而 并 非 创 
建 特 定 系统 体系 结构 的 基础 。 

release ( 发布 版 本 ) 。 软 件 系 统 的 一 个 版 本 ， 对 系统 客户 可 用 的 版 本 。 

reliability 〈 可 靠 性 ) 。 系 统 提供 所 指定 的 服务 的 能 力 。 可 靠 性 可 以 定量 地 描述 ， 如 用 请 求 失 
败 概 率 (POFOD) 或 失败 出 现 率 描 述 。 

reliability growth modeling ( 可靠 性 增长 建 模 )。 建 立 一 个 系统 可 靠 性 增长 的 模型 ， 以 反映 
系统 在 经 过 测试 后 或 程序 缺陷 删除 后 可 靠 性 的 改变 。 

requirement, functional (需求 ， 功 能 性 的 )。 对 系统 中 必须 实现 的 一 些 功能 或 特征 的 一 个 
声明 。 

requirement, non-functional (需求 ， 非 功能 性 的 )。 对 施加 于 一 个 系统 的 约束 或 所 期 望 的 行 
为 的 声明 。 这 个 约束 可 能 指 的 是 正在 开发 的 软件 的 整体 特性 或 是 开发 过 程 。 

requirement management (需求 管理 ) 。 管理 对 需求 变更 的 过 程 来 保证 变更 是 经 过 合理 分 析 
并 在 系统 中 全 程 跟踪 的 。 

REST, REST 是 Representational State Transfer 的 缩写 。 十 一 种 基于 简单 客户 机 /服务 器 交互 的 


开发 风格 ， 它 使 用 HTTP 协议 。REST 基于 可 识别 的 资源 ， 即 URL 的 理念 。 对 资源 的 所 有 交互 都 是 
基于 HTTP POST, GET, PUT 和 DELETE 进行 的 。 它 目前 已 经 广泛 使 用 来 实现 低 成 本 Web 服务 。 

risk 〈 风 险 ) 。 一 个 不 期 望 出 现 的 输出 会 造成 对 取得 某 些 目标 的 威胁 。 过 程 风 险 威胁 着 过 程 
的 进度 或 成 本 ; 产品 风险 意味 着 可 能 导致 系统 的 一 些 需 求 不 能 达到 。 

risk management (风险 管理 )。 识 别 风 险 、 评 估 它 们 的 严重 性 、 规 划 措 施 以 便 在 风险 出 现时 
能 及 时 处 理 、 监 控 软 件 和 软件 过 程 中 的 风险 的 一 系列 过 程 就 是 风险 。 

Ruby, 一 种 程序 设计 语言 ， 具 有 动态 类 型 ， 尤 其 适合 于 Web 应 用 的 程序 开发 。 

safety (安全 性 )。 系 统 运行 过 程 中 避免 灾难 性 的 失败 的 能 力 。 

safety case (安全 用 例 )。 一 种 结构 化 的 论证 说 明 系 统 是 安全 的 或 不 安全 。 很 多 要 求 极 高 的 系 
统 必须 具备 相关 的 安全 用 例 。 这 些 安全 用 例 是 由 外 部 监管 者 在 核发 使 用 许可 前 确定 和 认可 的 。 

SAP。 德 国 公司 ， 开 发 了 著名 的 广泛 使 用 的 ERP 系统 。 它 也 指 的 是 命名 为 SAP 的 ERP 系统 
AG 

scenario ( 场景， 情景 脚本 ) 。 描 述 系统 使 用 的 典型 方式 或 用 户 执行 某 些 活动 的 典型 方式 。 

Scrum。 一 种 敏捷 开发 方法 ， 基 于 冲刺 短 开发 环 。Scrum 可 以 用 来 作为 敏捷 项 目 管理 的 基础 
与 其 他 敏捷 方法 (例如 XP) 一 起 使 用 。 

security 《信息 安全 性 ) 。 系 统 保护 自身 免 于 偶然 的 和 恶意 的 人 侵 的 能 力 。 信 息 安全 性 包括 保 
密 性 、 完 整 性 和 可 用 性 。 

SEI。 是 Software Engineering Institute 的 缩写 。 它 是 软件 工程 研究 和 技术 的 转移 中 心 ， 创建 的 
目的 是 改善 美国 公司 的 软件 工程 的 标准 。 

sequence diagram (序列 图 ) 。 描 述 为 完成 蘑 些 操作 所 需要 的 交互 序列 的 图 。 在 UML rm, Jg 
列 图 可 能 与 用 例 相 关联 。 

server (服务 器 )。 一 个 能 对 其 他 的 程序 (客户 机 ) 提供 服务 的 程序 。 

service, Zl, Web service, 

socio-technical system ( 社会 技术 系统 ) 。 是 一 种 包含 软 硬 件 组 件 、 对 人 的 操作 过 程 有 良好 定 
义 的 在 组 织 内 部 运行 的 系统 。 因 此 ， 它 受到 机 构 的 策略 、 规 程 及 结构 的 影响 。 

software architecture (软件 体系 结构 )。 描 述 软件 系统 基本 结构 和 组 成 的 模型 。 

software life cycle (软件 生命 周期 )。 通 常 作为 软件 过 程 的 另 一 个 名 字 。 最 初 提出 这 个 术语 
指 的 是 软件 过 程 的 瀑布 模型 。 

software metric ( 软件 量度 ) 。 软 件 系统 或 过 程 的 属性 ， 可 以 用 数字 形式 表达 和 度量 。 过 程 量 
度 是 一 个 过 程 属性 ， 例 如 完成 任务 的 时 间 ， 产品 量度 是 软件 本 身 的 属性 ， 例如 规模 或 复杂 性 。 

software product line (软件 产品 线 ) 。 人 参看 application family。 

software process (软件 过 程 ) 。 在 软件 系统 的 开发 和 进化 过 程 中 的 活动 及 过 程 的 相关 集合 。 

spiral model (螺旋 线 模型 ) 。 开 发 过 程 的 一 种 模型 。 这 里 过 程 被 表示 为 一 条 螺旋 线 ， 螺 旋 线 
的 每 一 圈 包 含 过 程 的 不 同 阶段 。 当 从 螺旋 线 的 一 个 圈 移 动 到 另 一 个 图 时 ， 会 重复 过 程 的 所 有 
阶段 。 

state diagram (状态 图 ) 。 一 种 UML 图 的 类 型 ， 说 明 系 统 的 状态 以 及 触发 系统 从 一 个 状态 转 
变 到 另 一 个 状态 的 事件 。 

static analysis (静态 分 析 ) 。 对 程序 源码 进行 基于 工具 的 分 析 ， 以 发 现 错误 和 异常 。 像 对 一 
个 无 中 间 使 用 的 变量 连续 赋值 这 样 的 异常 可 能 是 编程 错误 。 

structured method (结构 化 方法 ) 。 一 种 软件 设计 的 方法 。 它 定义 需要 开发 的 系统 模型 、 应 
用 于 这 些 模型 的 规则 和 指导 方针 ， 以 及 在 进行 设计 过 程 中 应 遵循 的 过 程 。 

Structured Query Language (SQL， 结 构 化 查询 语言 ) 。 一 种 用 于 关系 数据 库 编 程 的 标准 化 


语言 。 

Subversion。 一 种 广泛 使 用 的 开源 系统 构建 工具 ， 可 在 很 多 平台 上 使 用 。 

system building (系统 构建 ) 。 编 译 组 成 系统 的 组 件 或 单元 并 将 这 些 与 其 他 组 件 相 链接 最 终 
形成 可 执行 程序 的 过 程 。 系 统 构建 通常 是 自动 完成 的 ， 所 以 重 编译 可 以 得 到 最 小 化 。 这 种 自动 化 
可 能 建立 在 语言 处 理 系 统 内 部 〈 如 Java) 或 者 是 用 软件 工具 来 支持 系统 构建 。 

system engineering (系统 工程 ) 。 定 义 系统 、 集 成 组 件 及 测试 系统 是 否 符 合 其 需求 的 过 程 。 
系统 工程 关注 整个 社会 技术 系统 一 一 软件 、 硬 件 及 操作 过 程 ， 而 不 仅仅 是 系统 软件 。 

test coverage (测试 覆盖 ) 。 测 试 整个 系统 代码 的 系统 测试 的 有 效 性 。 某 些 公 司 有 关于 测试 覆 
羡 的 标准 (例如 ， 系 统 测试 应 该 保证 所 有 程序 语句 至 少 要 执行 一 遍 ) 。 

test-driven development (测试 驱动 的 开发 )。 软 件 开发 的 一 种 方法 ， 它 是 在 写 代码 之 前 就 写 
可 执行 测试 。 在 对 程序 每 做 一 次 变更 之 后 就 自动 运行 一 组 测试 。 

transaction (事务 )。 一 个 与 计算 机 系统 交互 的 单元 。 事 务 是 独立 的 和 原子 的 《它们 不 能 被 
分 割 成 更 小 的 单元 ) ， 并 且 是 恢复 、 一 致 性 及 并 发 性 的 基本 单元 。 

transaction processing system (事务 处 理 系统 ) 。 这 是 一 种 系统 ， 它 以 保证 事务 处 理 过 程 不 
会 相互 影响 ， 且 单个 事务 的 失败 不 会 影响 到 其 他 事务 及 系统 数据 的 方式 工作 。 

Unified Modeling Language (UML， 统 一 建 模 语言 )。 一 种 用 于 面向 对 象 开 发 的 图 形 语言 ， 
它 包含 多 种 系统 模型 提供 系统 的 不 同 视图 。UML 已 经 成 为 面向 对 象 建 模 的 事实 上 的 标准 。 

use case (用 例 )。 与 系统 交互 的 一 种 类 型 的 描述 。 

user interface design (用 户 界面 设计 )。 设 计 系 统 用 户 访 问 系统 功能 及 显示 系统 所 产生 的 信 
息 的 方式 的 过 程 。 

validation (有 效 性 验证 )。 检 查 系统 是 否 满足 了 客户 的 需要 和 期 望 的 过 程 。 

verification (检验 )。 检 查 一 个 系统 是 否 符合 其 描述 的 过 程 。 

version management 《版 本 管理 ) 。 对 软件 系统 及 其 组 件 管理 变更 的 过 程 ， 以 便 可 能 知道 在 
每 一 个 组 件 / 系 统 版 本 中 进行 了 哪些 改变 , .也 可 以 借 此 进行 对 组 件 / 系 统 先 前 版 本 的 恢复 /重建 。 

waterfall model (瀑布 模型 )。 一 种 软件 过 程 模型 ， 包 含 以 下 单独 的 开发 阶段 : 描述、 设计 、 
实现 、 测 试 及 维护 。 原 则 上 ， 一 个 阶段 必须 在 进入 下 一 阶段 之 前 完成 。 而 实际 上 ， 在 两 个 阶段 之 
间 存 在 迭代 。- . . 

Web service (Web 服务 ) 。 可 以 通过 因特网 标准 协议 访问 的 独立 软件 组 件 ， 没 有 外 部 支持 。 
基于 XML 标准 的 SOAP (标准 对 象 访 问 协议 ) 用 于 网 络 服务 信息 交换 。WSDL (Web 服务 定义 语 
言 ) 用 于 定义 Web 服务 界面 。REST 方法 或 许 也 可 以 用 于 Web 服务 实现 。 

white-box testing ( 白 盒 测试 ) 。 程 序 测试 的 一 种 方法 ， 测 试 是 基于 程序 和 组 件 的 结构 信息 
的 。 访 问 到 源 代 码 是 白 盒 测试 的 关键 所 在 。 

wilderness weather system (野外 气象 系统 )。 一 个 收集 偏远 地 区 气象 状况 数据 的 系统 。 本 书 
中 作为 用 例 。 

workflow (工作 流 )。 对 业务 过 程 的 一 种 详细 定义 , 目的 是 完成 某 项 任务 。 工作 流 总 是 用 图 形 
的 形式 表达 ， 给 出 单个 过 程 活动 及 由 每 个 活动 所 生产 和 消费 的 信息 。 

WSDL。 一 种 基于 XML 的 符号 系统 ， 用 于 定义 Web 服务 的 接口 。 

XML 〈 可 扩展 标记 语言 )。 可 扩展 标记 语言 。XML 是 一 种 支持 结构 化 数据 交换 的 文本 标记 
语言 。 每 个 数据 域 用 标记 符 界 定 ， 标 记 符 给 出 该 数据 域 的 信息 。 现 今 XML 得 到 广泛 应 用 并 且 成 
为 Wel ARS Di Nae aH, | 

XP (极限 编程 )。 极 限 编程 (Extreme Programming) 的 常用 缩写 。 

Z (2Z 方 法 )。 一 种 基于 模型 的 、 形 式 化 描述 语言 ， 是 由 英国 牛津 大 学 开发 的 。 





